OpenSSF、ソフトウェアサプライチェーンのセキュリティ強化フレームワーク「SLSA v1.0」を公開：ソースコードやビルドシステムの改ざんを防止

OpenSSFは、「Supply-chain Levels for Software Artifacts」（SLSA）のVersion 1.0を公開した。

[＠IT]

　Open Source Security Foundation（OpenSSF）は2023年4月19日（米国時間）、「Supply-chain Levels for Software Artifacts」（SLSA）のVersion 1.0を公開した。

　SLSA（「サルサ」と発音）は、ソフトウェアサプライチェーンのセキュリティに関する仕様を提供するOpenSSFのプロジェクト。これらの仕様は、関連コミュニティーの専門家の合意によって確立されており、段階的に導入できる。OpenSSFは、オープンソースソフトウェア（OSS）を通じたイノベーション促進を目指す非営利組織Linux Foundationのプロジェクトであり、オープンソースエコシステムの安全性向上に取り組んでいる。

　ソフトウェアの構築および配布プロセスの弱点を突いて、このプロセスを妨害するソフトウェアサプライチェーン攻撃は、常に存在する脅威だが、「SLSAは、ソースコードやビルドシステムの改ざんを防止するフレームワークを提供する」と、OpenSSFは説明している。