SLSA 概説・v1.2 の紹介

Transcript

1. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 SLSA

   概説・v1.2 の紹介 2026/04/03 OpenSSF OSSセキュリティ meetup サイバートラスト株式会社 河原 颯太

2. 本発表のテーマ : SLSA SLSA(サルサ) Supply-chain Levels for Software Artifacts https://slsa.dev/

3. Index ▪ セキュリティコンプライアンスとSLSA • SSDFとSLSA • SLSAとSSDFのマッピング ▪ SLSAとは •

   SLSAの「トラック」と「レベル」 • 各トラックの簡易的な要件 • SLSAの思想とプラットフォーム・Provenance ▪ Provenance・Attestation • Attestation Modelの紹介 • 実際に作成したAttestation

4. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 セキュリティコンプライアンスとSLSA

5. SSDFとSLSA ▪ SSDF(Secure Software Development Framework = NIST SP 800-218)

   • https://csrc.nist.gov/pubs/sp/800/218/final • セキュアなソフトウェアを開発するために，組織が達成すべき要 件が示されている • 経産省によるSSDF導入ガイダンス案: https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cybe r/wg_seido/wg_bunyaodan/software/pdf/015_s01_00.pdf • 「SSDFは、幅広い分野で適用できるように、汎用的で、抽象度の 高い、包括的なフレームワークを提供するものであるため、組織 において実践導入する上で具体的な方法や達成基準が明確で はないといった課題がある 」※SSDF導入ガイダンス案より

6. SSDFとSLSA ▪ SLSA(Supply-chain Levels for Software Artifacts) • サプライチェーンセキュリティのためのフレームワーク・チェックリ スト

   • 組織のソフトウェアのセキュリティ度合いの評価軸(共通言語)とな る • 組織が低レベルから段階的に導入できるように設計されており， 組織の成熟度や開発現場の現状に応じて適用が可能 • SSDFとの直接的な関係はないものの，SSDFのいくつかの要件 への対応をすすめることも可能

7. SLSAとSSDFのマッピング SLSA Track & Level 対応(を促進)するSSDF要件 Build L1 PS.3.2 Build

   L2 PS.2.1, PS.3.1, PS.3.2 Build L3 PO.5.1, PO.5.2, PW.6.1 PW.6.2 Source L1 PS.1.1 Source L2 PS.1.1, PS.3.2 ※参照: Supply Chain Robots, Electric Sheep, and SLSA: https://slsa.dev/blog/2025/12/supply-chain-robots-slsa SLSA for Success: Using SLSA to help achieve NIST’s SSDF: https://slsa.dev/blog/2022/06/slsa-ssdf

8. 例) PS.3.2をSLSAがどのように対応 (を促進)するか Tasks(本文): PS.3.2: Collect, safeguard, maintain, and share

   provenance data for all components of each software release (e.g., in a software bill of materials [SBOM]). Notional Implementation Examples(実装例): Example 1: Make the provenance data available to software acquirers in accordance with the organization’s policies, preferably using standards-based formats. (...) Example 4: Update the provenance data every time any of the software’s components are updated.

9. 例) PS.3.2をSLSAがどのように対応 (を促進)するか Tasks(本文): PS.3.2: Collect, safeguard, maintain, and share

   provenance data for all components of each software release (e.g., in a software bill of materials [SBOM]). ↓ 各ソフトウェアリリースのすべてのコンポーネントに対して， provenanceデータを収集(生成)，保護，維持(保管)，共有(配布)する

10. SLSAとSSDFのマッピング SLSA Track & Level 対応(を促進)するSSDF要件 Build L1 PS.3.2 Build

    L2 PS.2.1, PS.3.1, PS.3.2 Build L3 PO.5.1, PO.5.2, PW.6.1 PW.6.2 Source L1 PS.1.1 Source L2 PS.1.1, PS.3.2 ※参照: Supply Chain Robots, Electric Sheep, and SLSA: https://slsa.dev/blog/2025/12/supply-chain-robots-slsa SLSA for Success: Using SLSA to help achieve NIST’s SSDF: https://slsa.dev/blog/2022/06/slsa-ssdf

11. 例) PS.3.2をSLSAがどのように対応 (を促進)するか PS.3.2: 各ソフトウェアリリースのすべてのコンポーネントに対して ，provenanceデータを収集(生成)，保護，維持(保管)，共有(配布)する Build L1では，Build Artifact(ビルド成果物 )のprovenanceの

    生成・配布 を行う Build L2では，Build Artifact(ビルド成果物 )のprovenanceの 生成・配布・保護 を行う

12. 例) PS.3.2をSLSAがどのように対応 (を促進)するか PS.3.2: 各ソフトウェアリリースのすべてのコンポーネントに対して ，provenanceデータを収集(生成)，保護，維持(保管)，共有(配布)する Source L2では，ソースコード のprovenanceの 生成・配布・保護

    を行う ※先ほどまではビルド成果物(ビルドステップ)が対象であったが，こちらで はソースコード(ソースステップ)が対象

13. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 SLSAとは

14. SLSA ▪ サプライチェーンセキュリティに関する “段階的に導入可能な一連のガイドライン” ▪ software producers(提供者)は • サプライチェーンをより安全に •

    取り組みとその安全性をユーザーに示すことができる ▪ consumers(ユーザー)は検証によって信頼性を確認できる SLSA(サルサ): Supply-chain Levels for Software Artifacts https://slsa.dev/

15. SLSA の「トラック」と「レベル」 Source Build Level 0 Level 1 Level 2

    Level 3 Level 4 Level 0 Level 1 Level 2 Level 3 Level 4 トラック ＝ 広さ レベル ＝ 深さ ▪ サプライチェーン全体がいくつか のトラックに分けられている • 組織において ‘導入しやすい/重 要な’ トラックから段階的に導入 が可能 ▪ 対策度合いによってレベル分け • 低レベルから段階的に導入可能 (導入障壁を下げる) • レベルによってユーザーがセキュ リティ度合いを判断可能

16. サプライチェーンにおける脅威とトラック https://slsa.dev/spec/v1.2/threats-overview#summary

17. サプライチェーンにおける脅威とトラック Source Track Build Track

18. Build Trackのレベルと簡易的な要件 Build Level Requirements Build Level 1 CI/CD(build platform)を使用する

    (Build) Provenanceを生成する Build Level 2 Provenanceに必要十分な情報が存在し，真正性を保証できる Build Level 3 Provenanceに高度な偽造耐性があること

19. Source Trackのレベルと簡易的な要件 Source Level Requirements Source Level 1 Version Control

    Systemを使用する Source VSAを生成する Source Level 2 変更履歴を保存し，Source Provenanceを生成する Source Level 3 リポジトリへのアクセス・操作制限など，技術的制御の強制 Source Level 4 (2人以上の)コードレビューの要求 https://slsa.dev/spec/v1.2/threats-overview#summary

20. SLSAの思想とプラットフォーム・ Provenance “Trust Platforms, verify artifacts” “Prefer attestations over inferences”

    https://slsa.dev/spec/v1.2/principles

21. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 公開 Provenance・Attestation

22. 用語の整理 - Provenance・Attestation Provenance (直訳: 来歴) その生成物がどのように生成されたかのデータ SLSA内では，概念的なものも含めて広く来歴を示す物をProvenance と 呼称する

    Attestation (直訳: 証明・認証) 一般に，Artifactに関する認証済み・機械可読なメタデータのこと SLSA内では，後述する”General Model”に沿ったデータのこと

23. 用語の整理 - Provenance・Attestation Provenance (直訳: 来歴) その生成物がどのように生成されたかのデータ SLSA内では，概念的なものも含めて広く来歴を示す物をProvenance と 呼称する

    Attestation (直訳: 証明・認証) 一般に，Artifactに関する認証済み・機械可読なメタデータのこと SLSA内では，後述する”General Model”に沿ったデータのこと ※概念的に話すときは Attestationまで含めて広く Provenanceといってしまってほぼ構わない

24. SLSAの各Trackで扱うAttestation ▪ Build Track • (SLSA/Build) Provenance ▪ Source Track

    • Source VSA • Source Provenance(Level 2以上で必要) 各Trackのリリース・リビジョンの作成ごとに上記のAttestationを発行する

25. SLSAの各Trackで扱うAttestation SLSAの導入に際しては このAttestationをどうやって作るか が当面の主問題 ▪ Build Track • (SLSA/Build) Provenance

    ▪ Source Track • Source VSA • Source Provenance(Level 2以上で必要) 各Trackのリリース・リビジョンの作成ごとに上記のAttestationを発行する

26. General Model https://slsa.dev/spec/v1.2/attestation-model

27. General Model Envelope - 署名付きメッセージ - 発行者保証と改ざん 耐性 Statement -

    Artifactと述語 (Predicate)の紐付け Predicate - 述語 - 具体的なメタデータ ※推奨フォーマットは https://slsa.dev/spec/v1.2/attestation-model#recommended-suite参照

28. General Model https://slsa.dev/spec/v1.2/attestation-model 一番大事な部分 (=検証などで使うデータ )はココ!

29. 実際に作成した Attestation GitHub上のリポジトリでSource VSA/Source Provenanceを作成してみ た: https://github.com/KAWAHARA-souta/slsa-source-prov/actions/runs/23930678871 ※githubの仕様により90日でactionのartifactが消えてしまうので， 2026年6月末で確認できなくなります ..

    コミュニティのツール: https://github.com/slsa-framework/source-tool コミュニティのドキュメント: https://docs.google.com/document/d/18YD0FnCsTA13az8Gt_MUnEo2ljpB2GO8QLz1sNw_LI0/edit?usp=sharing

30. General Modelとの突合せ jsonl(json lines)でバンドルされている Attestationは2つ含まれている(Source VSAとSource Provenance)

31. General Modelとの突合せ それぞれsigstore bundleになっている “dsseEnvelope” フィールドが正しく図の Envelope部分(緑) “payload” フィールドが “Message”

    にあ たる

32. General Modelとの突合せ payloadはBase64エンコードされている のでデコードした結果が右図 赤枠部分がPredicate

33. Source Provenance(1つ目)

34. Source VSA(2つ目)

35. まとめ SLSAとは.. ▪ サプライチェーンセキュリティに関する • フレームワーク・チェックリスト(評価軸・共通言語) • 段階的に導入可能な一連のガイドライン ▪ SSDFのいくつかの要件への対応を進めることができる

    ▪ トラック・レベルが分かれており組織の成熟度・現場の状況に合わせ て導入できる ▪ ユーザーは検証によって達成度を確認・信頼することができる ▪ Platformがトラストアンカーとなる (=Platformを構築することが必須) ▪ なにはともあれ必要なAttestationを作成することがSLSAへの第一歩

36. Copyright Cybertrust Japan Co., Ltd. All rights reserved. 留意事項 本資料に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。

    その他本資料に記載されているイラスト・ロゴ・写真・動画・ソフトウェア等は、当社または第三者が有する知的財産権やその他の権利により守られております。 お客様は、当社が著作権を有するコンテンツについて、特に定めた場合を除き、複製、改変、頒布などをすることはできません。 本資料に記載されている情報は予告なしに変更されることがあります。また、時間の経過などにより記載内容が不正確となる場合がありますが、当社は、当該情報を更新する義 務を負うものではありません。