Definition. SLSA (Supply-chain Levels for Software Artifacts) ist ein Rahmenwerk, das die Integrität der Software-Lieferkette in abgestuften Stufen beschreibt. Es definiert Maßnahmen, mit denen nachvollziehbar und überprüfbar wird, dass ein Artefakt tatsächlich aus dem erwarteten Quellcode und Build-Prozess stammt — und unterwegs nicht manipuliert wurde.

Warum relevant. SLSA adressiert Angriffe, die nicht den Quellcode selbst, sondern den Weg von Quellcode zu ausgeliefertem Artefakt betreffen. Für mittelständische Plattformen ergänzt es die SBOM (was steckt drin?) um die Frage „ist die Herkunft vertrauenswürdig?“ und macht Lieferketten-Sicherheit überprüfbar statt behauptet.

Verwandt. SBOM, Supply Chain Security, Software Provenance, DevSecOps