Die Open Source Security Foundation (OpenSSF) hat die Version 1.0 des Supply-chain Levels for Software Artifacts (SLSA) veröffentlicht.

SLSA (sprich Salsa) bietet als OpenSSF-Projekt Software Supply Chain Security Spezifikationen für die Sicherheit der Software-Lieferkette bereitstellt, die durch Community-Experten festgelegt wurden. Das SLSA-Framework sei in Stufen mit zunehmender Sicherheitsstrenge gegliedert. Es soll damit gewährleistet sein, dass Software nicht manipuliert wurde und sich sicher zu ihrer Quelle zurückverfolgen lasse.

“Die OpenSSF arbeitet hart daran, mehr Strenge in den Softwareentwicklungsprozess zu bringen”, sagte Brian Behlendorf, General Manager der OpenSSF.

SLSA biete ein gemeinsames Vokabular, um über die Software Supply Chain Security zu sprechen und ziele darauf ab, ein umfassendes Framework dafür zu schaffen. Version SLSA v1.0 stelle eine konzeptionelle Änderung dar, indem die SLSA-Anforderungen in mehrere Tracks unterteilt werden, wobei sich jeder Track auf einen Bereich der Software-Lieferkette konzentriert, etwa Build, Source und Abhängigkeiten. Zuvor habe es nur einen einzigen Track gegeben. Die neue Aufteilung solle die Einführung von SLSA für Benutzer einfacher machen.

Der Beitrag KubeCon & CloudNativeCon Europe: OpenSSF veröffentlicht SLSA 1.0 erschien zuerst auf Linux-Magazin.