SLSA-EDI
Le framework de Google pour graduer la sécurité de la supply-chain.
Définition
SLSA v1.0 (2023) définit 4 niveaux de Build Track : L0 (no protection), L1 (provenance documented), L2 (hosted build platform), L3 (hardened builds). Track Source : protection du code source. Track Dependencies : sécurité des dépendances. Pour un éditeur EDI : viser L3 sur le build (provenance signée Sigstore) et L2 sur les dépendances (SBOM + scans réguliers).
Origine
Créé par Google en 2021, transféré à l'Open Source Security Foundation (OpenSSF) en 2022.
Exemple en contexte
Un AS2 container image avec attestation SLSA L3 (build sur GitHub Actions, signée Sigstore).
Termes liés
- SBOM — inventaire dépendances connexe.