OpenSSFは、「Supply-chain Levels for Software Artifacts」(SLSA)のVersion 1.0を公開した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Open Source Security Foundation(OpenSSF)は2023年4月19日(米国時間)、「Supply-chain Levels for Software Artifacts」(SLSA)のVersion 1.0を公開した。
SLSA(「サルサ」と発音)は、ソフトウェアサプライチェーンのセキュリティに関する仕様を提供するOpenSSFのプロジェクト。これらの仕様は、関連コミュニティーの専門家の合意によって確立されており、段階的に導入できる。OpenSSFは、オープンソースソフトウェア(OSS)を通じたイノベーション促進を目指す非営利組織Linux Foundationのプロジェクトであり、オープンソースエコシステムの安全性向上に取り組んでいる。
ソフトウェアの構築および配布プロセスの弱点を突いて、このプロセスを妨害するソフトウェアサプライチェーン攻撃は、常に存在する脅威だが、「SLSAは、ソースコードやビルドシステムの改ざんを防止するフレームワークを提供する」と、OpenSSFは説明している。
Copyright © ITmedia, Inc. All Rights Reserved.