SLSA框架中源代码追踪元数据的通信机制探讨

在软件供应链安全领域，SLSA（Supply-chain Levels for Software Artifacts）框架作为提升软件制品安全性的重要标准，其源代码追踪（Source Track）机制的设计一直备受关注。近期社区针对"如何传递源代码追踪元数据"展开了深入讨论，本文将系统性地梳理相关技术方案和设计考量。

核心问题背景

SLSA框架的构建环节会生成制品来源证明（Provenance），但当前规范中源代码追踪的元数据传递机制尚未明确。这导致两个关键问题需要解决：

1. 消费者如何验证源代码的安全状态（由权威机构声明）
2. 权威机构如何确保声明的真实性

现有方案分析

在技术实现层面，目前主要存在两种设计思路：

方案一：独立证明文件

早期设计中曾考虑为源代码单独生成证明文件（类似构建环节的Provenance），这种方式具有：

• 可独立验证性：基于内容哈希而非特定VCS系统
• 公开可共享：定期生成的证明便于审计
• 版本比对能力：支持跨修订版本的直接比较

方案二：构建时嵌入模式

Google内部实践采用了一种替代方案，其特点是：

• SCP（Source Control Platform）提供API接口
• 构建时实时获取仓库保护状态元数据
• 直接嵌入到构建证明中

典型实现示例：

"resolvedDependencies": [{
  "uri": "git+https://github.com/foo/bar.git",
  "digest": {"gitCommit": "abc..."},
  "annotations": {
    "SLSA_STATUS": { "level": "SLSA_SOURCE_L2" }
  }
}]

技术权衡

两种方案各有优劣：

独立证明文件

• 优点：降低对SCP的信任依赖，验证更去中心化
• 挑战：需要额外的基础设施支持证明生成

构建时嵌入

• 优点：实现简单，现有系统改造成本低
• 缺点：强化了对SCP的信任假设

设计原则共识

社区讨论形成了重要共识：

1. 规范应保持控制措施的实现无关性，不绑定特定验证技术
2. 短期可采用信任SCP的过渡方案
3. 长期应发展去信任化验证机制（如gittuf等方案）

实施建议

对于SLSA框架的演进，建议采取分阶段策略：

1. v1.1版本先确立基础通信机制
2. 将详细验证方案作为独立模块迭代
3. 保持扩展性以支持未来增强

源代码追踪作为软件供应链安全的基础环节，其元数据通信机制的设计需要平衡即时可用性与长期安全性目标。SLSA框架正在通过开放的社区讨论，逐步完善这一关键组件的标准化工作。