SLSA Verifier
定義
ソフトウェア成果物に付与されたSLSA由来のプロベナンスを検証し、期待するビルダー、ソース、ワークフロー、成果物ダイジェストと一致するか確認するツールや検証処理。
詳細解説
SLSA Verifierは来歴が存在することだけでなく、信頼する発行元と期待条件を満たすかを検証します。CI/CDでは検証ポリシーをコード化し、失敗時に配布を止める条件と例外承認を明確にします。
ポイント
- 初心者向けには「成果物に付いた製造証明書を、期待する工場と材料に照らして確認する検査役」と捉える
- 署名が正しくても、信頼していないビルダーの来歴なら受け入れない
- 成果物のダイジェスト、ソース参照、ビルドワークフローを検証条件へ含める
関連用語
関連コンテンツ
公式情報・参考情報
よくある質問
SLSA Verifierとは?
ソフトウェア成果物に付与されたSLSA由来のプロベナンスを検証し、期待するビルダー、ソース、ワークフロー、成果物ダイジェストと一致するか確認するツールや検証処理。
SLSA Verifierについて詳しく知るには?
SLSA Verifierは来歴が存在することだけでなく、信頼する発行元と期待条件を満たすかを検証します。CI/CDでは検証ポリシーをコード化し、失敗時に配布を止める条件と例外承認を明確にします。
SLSA Verifierのポイントは?
初心者向けには「成果物に付いた製造証明書を、期待する工場と材料に照らして確認する検査役」と捉える 署名が正しくても、信頼していないビルダーの来歴なら受け入れない 成果物のダイジェスト、ソース参照、ビルドワークフローを検証条件へ含める
同じカテゴリの用語(ツール・製品)
複数のLLM APIやAI利用を中継し、認証、監査、レート制限、ポリシー、コスト管理を集約するゲートウェイ。…
複数のAPIへの入口を集約し、認証、ルーティング、レート制限、ログ取得などを担う中継コンポーネント。…
コンテナイメージ、パッケージ、ビルド成果物などを保存・配布するためのレジストリ。…
想定された攻撃シナリオを安全な範囲で継続的に実行し、防御・検知・制御の有効性を検証する仕組み。…
クラウド上で暗号鍵を作成、保管、利用、監査する鍵管理サービスの総称。…
AWSアカウント内のAPI操作や管理イベントを記録する監査ログサービス。誰が何を変更したかの追跡に使う。…