
作者:Mark Lodato(谷歌)和David A. Wheeler(Linux基金会)。
软件工件的供应链水平(SLSASLSA是一个OpenSSF项目,为软件供应链安全提供规范,由行业共识建立。SLSA的框架被组织成一系列的级别,描述了越来越严格的安全。 SLSA规范的0.1版 已经有一段时间了。我们一直在公开场合稳定地对SLSA进行更新,以便准备好 "1.0版本"。现在,我们有一个 1.0版草案,我们正在寻求您的最终反馈。
有关变化的更多信息,请见 v1.0候选版公告 在SLSA的博客上。一个重要的概念变化是将SLSA的级别要求划分为多个轨道。以前,每个SLSA级别包含了多个软件供应链方面的要求:有源码、构建、出处和共同要求。我们预计这种新的划分将使用户更容易采用SLSA,并有助于SLSA社区的发展。SLSA v1.0 RC定义了SLSA构建轨道,以开始这种需求的分离,其他轨道将在未来版本中出现。新的SLSA构建轨道1-3级大致对应于v0.1的1-3级,减去了源代码的要求。我们目前有计划建立第4级和一个源代码轨道。
如果你有兴趣提供反馈意见,请查看最新的《中国社会科学报》草案。 SLSA 1.0版 并打开一个 GitHub问题.我们特别欢迎对以下问题的评论。
- 新规范是否阐明了SLSA对供应链安全的好处?
- 在如何执行要求方面,规范是否明确?
- 是否有关于出处验证指南的反馈?
- 是否有建议改进分为多个轨道的做法?
- 更新的构建模型和出处格式是否容易理解?
- 是否有任何剩余的反馈,说明可能缺少什么?
提出意见的截止日期是2023年3月24日。谢谢您!