SLSA

Supply-chain Levels for Software Artifacts

概念

アーティファクト - コンテナ イメージ、言語パッケージ、コンパイル済みバイナリなど、ビルド パイプラインの結果として生成されるあらゆるファイル

来歴 - ビルドプロセス、トップレベルのソース、依存関係など、アーティファクトがどのようにビルドされたかに関するメタデータ

ダイジェスト - コンテナ イメージの SHA-256 ハッシュのように、アーティファクトを一意に識別する固定サイズの値を生成する暗号学的ハッシュ関数の結果

証明書 - 特定のアーティファクトまたはアーティファクトのセットが生成された時点でのビルド パイプラインの来歴を記録する暗号署名付きファイル

認証者 - 証明書を生成するシステムまたはプロセス。多くの場合、ビルド パイプラインの一部として、アーティファクト作成後、デプロイ前に組み込まれる

不変の参照 - 特定のコンテナ イメージや言語パッケージなど、常に同一の不変的なアーティファクトを指すことが保証されている URL などの識別子

ビルドの整合性 - 証明書によるビルド パイプラインの出力の検証

https://gyazo.com/d1ba9adf27c3841b9c10168725e25989