SLSA（Supply-chain Levels for Software Artifacts）

SLSA（Supply-chain Levels for Software Artifacts）とは、ひとことで言えば、Googleが提唱しOpenSSFが推進する、ソフトウェアサプライチェーンの完全性を保証する成熟度フレームワークです。「サルサ」と発音し、レベル1（ビルドプロセスの文書化）からレベル4（密閉ビルドと2人レビュー）までの段階的な要件を定義します。各レベルではビルド由来証明（provenance）、ソースコードの完全性、ビルド環境の隔離などが要求され、SolarWindsのような改ざん攻撃を防ぐことを目的とします。SBOMと組み合わせて利用され、米国SSDFやEU CRAなどの規制対応の基盤となっています。CISSP最新トピックとして頻出します。