Google、サプライチェーンへの整合性攻撃の被害を防ぐソリューションとしてSLSAを提案

　米Googleは、近年増加傾向にあるサプライチェーンへの整合性攻撃による被害を防ぐためのソリューションとして、「ソフトウェアアーティファクトのサプライチェーンレベル」（SLSA）を提案している。

　SLSAは、ソフトウェアサプライチェーン全体でソフトウェアアーティファクトの整合性を確保するためのエンドツーエンドのフレームワークで、業界の中でもとりわけオープンソースの状態を改善して、もっとも差し迫った整合性の脅威からの防御を目的とする。

　SLSAを使用することで、消費者はソフトウェアのセキュリティ体制について情報に基づいた選択を行えるようになる。

　現時点では、SLSAは業界のコンセンサスによって確立されている、段階的に採用可能な一連のセキュリティガイドラインであり、最終的にはSLSAは強制力という点でベストプラクティスとは異なり、特定のパッケージまたはビルドプラットフォームに「SLSA認証」を与えるために、ポリシーエンジンにフィードできる監査可能なメタデータの自動作成をサポートする。

　SLSAは、SLSA 1～SLSA 4の4段階のレベルで構成されており、SLSA 1はビルドプロセスが完全にスクリプト化／自動化され、来歴を生成する必要がある。SLSA 2ではバージョン管理と認証された来歴を生成するホスト型ビルドサービスを使用する必要があり、SLSA 3ではさらにソースプラットフォームとビルドプラットフォームが特定の基準を満たし、ソースの監査可能性と来歴の整合性をそれぞれ保証することが求められる。最高レベルのSLSA 4では、すべての変更を2人で確認し、密封性と再現性のあるビルドプロセスを行う必要がある。

　Goolgeは、ビルドアーティファクトとともに来歴を作成してアップロードできる、SLSA 1の来歴ジェネレータの概念実証を6月16日（現地時間）にリリースしており、ワークフローにスニペットを追加することで、SLSA 1の実現が可能になる。

　さらに今後は、人気のあるソース、ビルド、パッケージングプラットフォームと連携して、より高いレベルのSLSAに、簡単に到達できるようにする。同プランには、ビルドシステムでの来歴の自動生成、パッケージリポジトリでの来歴のネイティブな伝播、主要なプラットフォーム全体でのセキュリティ機能の追加が含まれている。