ソフトウェア成果物のサプライチェーンレベル（SLSA）

SLSA とは？

SLSA（Supply-chain Levels for Software Artifacts）は、ソフトウェアサプライチェーンの整合性とセキュリティを強化するために設計されたセキュリティフレームワークです。

Google によって開発され、Open Source Security Foundation（OpenSSF）によって管理されており、SLSA は改ざんの防止、整合性の強化、ソフトウェアやインフラの保護を目的としたガイドラインとベストプラクティスを提供します。

SLSA では、ビルドプロビナンス（由来の証明）、ソースの整合性、ビルド環境の安全性などに焦点を当てたセキュリティ厳格度の異なる 4 つのビルドレベル（0〜3）を定義しています【レベル一覧はこちら】。

各レベルは下位レベルの要件を基盤としており、段階的により高いセキュリティ保証を実現できる構造となっています。

ソフトウェアサプライチェーンがますます複雑かつ相互接続されている現代のソフトウェア開発において、SLSA は極めて重要なセキュリティフレームワークです。

たとえば SolarWinds 攻撃のようなサプライチェーン攻撃は、開発プロセスに潜む脆弱性を世界中に知らしめました。

SLSA を導入することで、組織は以下を実現できます:

SLSA Build Level 3（Hardened Builds）は、SLSA フレームワークにおける 4 つのレベルのうち、最も高いレベルです。

このレベルでは、ソフトウェアアーティファクトが安全かつトレーサブルにビルドされたことを保証するための厳格な要件が定められています。

SLSA Build Level 3 に準拠するには、ビルドが以下の要件を満たしている必要があります:

このレベルに準拠することで、ソフトウェアが信頼できるソースから、制御された監査可能な環境でビルドされたことを強く保証できます。

その結果、サプライチェーン攻撃のリスクを大幅に低減できます。

Docker Hardened Images（DHI）は、本番環境向けに特化して設計されたセキュアデフォルトのコンテナイメージです。

すべての DHI は暗号的に署名されており、SLSA Build Level 3 規格に準拠しており、ビルドプロビナンスと整合性の検証可能性を備えています。

SLSA 準拠の DHI を開発・デプロイプロセスに統合することで、以下のメリットが得られます:

セキュリティレベルの向上: 厳格なセキュリティ基準を満たすイメージを活用することで、脆弱性や攻撃リスクを低減できます。
コンプライアンス対応の簡素化: 署名付きの SBOM（ソフトウェア部品表）や VEX（悪用不可脆弱性に関する例外情報）などの機能を活用し、FedRAMP のような規制への対応が容易になります。
透明性の強化: 各イメージの構成要素やビルドプロセスに関する詳細情報へアクセスでき、透明性と信頼性が向上します。
監査対応の効率化: 検証可能なビルド記録と署名情報により、セキュリティ監査や評価プロセスがスムーズになります。

Docker Hardened Images（DHI）は、暗号的に署名されており、SLSA Build Level 3 に準拠した検証可能なビルドプロビナンス情報（アテステーション）が含まれています。

DHI の SLSA プロビナンスを取得し、検証するには Docker Scout を使用します:


$ docker scout attest get <your-namespace>/dhi-<image>:<tag> \
  --predicate-type https://slsa.dev/provenance/v0.2 \
  --verify

例:


$ docker scout attest get docs/dhi-node:20.19-debian12-fips-20250701182639 \
  --predicate-type https://slsa.dev/provenance/v0.2 \
  --verify

このコマンドにより、指定したイメージに対して SLSA 準拠のビルドプロビナンスが正しく署名されており、改ざんされていないことを検証できます。