SLSA框架中源追踪(SLSA Source Track)的责任划分与级别设计

概述

在软件供应链安全领域，SLSA框架的源追踪(Source Track)是确保代码来源可信的关键环节。本文深入分析SLSA源追踪中不同角色(生产者与源控制系统)的责任划分，以及如何设计清晰的级别要求表来指导实施。

源追踪中的责任主体

SLSA源追踪主要涉及两个责任主体：

1. 生产者(Producer)：指代码的创建和维护组织或个人，负责使用适当的工具和流程来确保代码安全。

2. 源控制系统(Source Control System)：包括GitHub、GitLab、Gerrit等现代代码管理平台，提供必要的安全功能。

责任划分建议

根据讨论，建议将源追踪要求明确划分为：

生产者责任：

• 使用现代开发工具
• 维护规范的代码存储位置
• 分发摘要证明(Summary Attestation)

源控制系统责任：

• 提供版本控制功能
• 实现变更管理机制
• 支持代码审查流程
• 确保操作可审计

级别表设计思路

参考SLSA构建追踪(Build Track)的级别表设计，源追踪级别表应：

1. 采用类似构建追踪的"生产者"与"平台"双栏结构
2. 从低到高(L1-L3)明确每个级别的具体要求
3. 特别关注L3级别的证明要求
4. 合并系统要求和变更管理工具要求

实施建议

对于希望实施SLSA源追踪的组织：

1. 首先评估现有代码管理实践的成熟度
2. 对照级别表确定目标级别
3. 逐步满足相应级别的生产者责任要求
4. 选择或配置源控制系统以满足平台要求
5. 特别注意L3级别的证明生成和分发机制

总结

清晰的源追踪级别表是SLSA框架实施的重要参考。通过明确划分生产者和源控制系统的责任，并设计直观的级别要求，可以帮助组织更有针对性地提升软件供应链安全水平。随着SLSA 1.2版本的推进，这一工作将进一步完善。