Was ist das
SLSA Framework?

Topics GRC SLSA Framework

Definition

Das SLSA-Framework (Supply-Chain-Levels for Software Artifacts) ist ein Sicherheitsstandard der OpenSSF zur Absicherung des Software-Build-Prozesses. Dieses Sicherheitsrahmenwerk zielt darauf ab, das Risiko von Manipulationen zu reduzieren, Traceability sicherzustellen und die Integrität von Artefakten zu gewährleisten – indem es Teams anleitet, Software auf verifizierbare und vertrauenswürdige Weise zu entwickeln.

Überblick über das SLSA-Framework

Die aktuelle Version von SLSA (v1.1) besteht aus aufeinander aufbauenden Sicherheitsstufen (SLSA 0–3), die jeweils strengere Kontrollen über den Software-Build-Prozess bereitstellen. Zu den Grundprinzipien gehören:

  • Provenance: Verifizierbare Nachweise darüber, wie Software erstellt wurde
  • Manipulationsschutz: Schutz vor unautorisierten Änderungen
  • Isolation und Reproduzierbarkeit: Builds erfolgen in sicheren, kontrollierten Umgebungen

Das Framework ist toolunabhängig und kann entsprechend dem Security-Reifegrad eines Teams schrittweise eingeführt werden.

Wie SLSA die Software-Integrität stärkt

SLSA unterstützt Unternehmen dabei, Vertrauen in ihre Software aufzubauen. Und zwar, indem Best Practices durchgesetzt werden, die Authentizität und Zuverlässigkeit sicherstellen. So können Teams und Endbenutzer einfacher überprüfen, ob Software manipuliert wurde und sicher verwendet werden kann. Damit spielt SLSA eine zentrale Rolle für eine sichere Software-Lieferkette.

Schwachstellen können entlang der gesamten Software-Lieferkette auftreten (Quelle: SLSA.dev).

SLSA und GRC: Ein grundlegendes Framework für Compliance-fähige Software

Da GRC (Governance, Risk & Compliance) für Unternehmen immer wichtiger wird, bietet SLSA ein bewährtes Framework, um die Sicherheit der Software-Lieferkette zu belegen. SLSA ist branchenweit anerkannt und liefert einen einheitlichen Rahmen, der die Zusammenarbeit mit Behörden und Wirtschaftsprüfern vereinfacht. Dadurch fördert es Vertrauen und schafft letztlich die Grundlage für Compliance.

Der wachsende Bedarf an Lieferkettensicherheit

Moderne Software stützt sich auf Open-Source- und Drittanbieter-Komponenten, wodurch die Lieferkette zu einem bevorzugten Angriffsziel wird. SLSA begegnet diesen Risiken mit einem Framework aus strikten Build-Kontrollen, automatisierter Verifizierung und rückverfolgbaren Artefakt-Protokollen. Dadurch können Teams Manipulationen verhindern, forensische Untersuchungen unterstützen und sich an gängigen Standards wie SSDF und EO 14028 ausrichten.

Wie SLSA gegen Schwachstellen und Risiken vorgeht

SLSA adressiert oft übersehene Risiken in der Software-Lieferkette – wie manipulierte Builds und unsichere Abhängigkeiten –, indem es den Build-Prozess selbst absichert. Es setzt auf Provenance, isolierte Builds und nachprüfbare Datensätze, um unautorisierte Änderungen zu verhindern und Kompromittierungen frühzeitig zu erkennen. Durch die mehrstufigen Levels können Unternehmen Sicherheitslücken schrittweise schließen und mehr Kontrolle über den Software-Lebenszyklus ausüben.

Vorteile der Einführung des SLSA-Frameworks für Unternehmen

Die Einführung des SLSA-Frameworks verbessert die Software-Integrität, verkürzt die Incident Response, stärkt das Vertrauen von Usern und Stakeholdern und optimiert den Audit-Prozess, um die Einhaltung von Standards wie SSDF und EO 14028 nachzuweisen.

SLSA-Sicherheitsstufen im Überblick

Das SLSA-Framework definiert vier aufeinander aufbauende Sicherheitsstufen, die jeweils darauf ausgelegt sind, die Integrität der Software-Lieferkette zu stärken. Diese Stufen können schrittweise eingeführt werden, sodass Unternehmen ihre Sicherheitsmaßnahmen – abhängig von Risiko, Ressourcen und Geschäftsanforderungen – langfristig ausbauen können. Hier die Sicherheitsstufen in SLSA v1.1 (Stand April 2025):

Level 0 (L0): Keine SLSA-Implementierung und fehlende Provenance. Sollte nur genutzt werden, wenn Development und Test-Builds der Software auf demselben lokalen Rechner gebaut und ausgeführt werden.

Level 1 (L1): Die Grundlage für Provenance schaffen.
Voraussetzungen: Die Build-Plattform muss automatisch Provenance generieren, die beschreibt, wie das Artefakt erstellt wurde. Provenance muss außerdem für die Distribution an Konsumenten verfügbar sein.

SLSA L1 ermöglicht es Unternehmen, eine solide Provenance-Grundlage zu schaffen, auf der sie aufbauen können.

Level 2 (L2): Provenance auf einer gehosteten Build-Plattform bereitstellen
Voraussetzungen: Die Build-Plattform muss in der Lage sein, Provenance automatisch selbst zu generieren und zu signieren. Konsumenten müssen die Authentizität der Provenance validieren können.

SLSA L2 hilft Unternehmen dabei, Manipulationen von Builds mithilfe von digitalen Signaturen zu verhindern. Außerdem verringert es die Angriffsfläche und hält Angreifer davon ab, Sicherheitskontrollen zu umgehen.

Level 3 (L3): Builds weiter absichern
Voraussetzungen: Die Build-Plattform muss über Kontrollmaßnahmen verfügen, die sicherstellen, dass Pakete aus der offiziellen Quelle und dem offiziellen Build-Prozess stammen. Es muss kontrolliert werden, dass Runs sich nicht gegenseitig beeinflussen (auch nicht innerhalb desselben Projekts) und dass geheimes Material, das zur Signierung der Provenance verwendet wird, nicht in benutzerdefinierten Build-Schritten zugänglich ist.

SLSA L3 geht über L2 hinaus und verhindert Manipulationen während des Build-Prozesses durch kompromittierte Zugangsdaten oder Insider-Bedrohungen. Dadurch erschwert L3 das Fälschen von Provenance erheblich.

In der Praxis helfen diese drei Stufen Teams dabei, Sicherheitsanforderungen gegen den Implementierungsaufwand abzuwägen. Indem die Voraussetzungen jeder Stufe erfüllt werden, können Unternehmen Schritt für Schritt Vertrauen und Resilienz in ihre Software-Lieferkette aufbauen.

 

Best Practices für die Implementierung von SLSA

5 Schritte zur Integration von SLSA in Ihren Softwareentwicklungs-Lebenszyklus

  1. Mit SBOMs starten: Erstellen Sie zunächst eine Software Bill of Materials (SBOMs), um Komponenten und Abhängigkeiten zu identifizieren.
  2. Builds automatisieren: Nutzen Sie gehostete CI/CD-Systeme, um das Risiko von Manipulationen zu verringern und Reproduzierbarkeit zu gewährleisten.
  3. Cyberhygiene in der Versionskontrolle einführen: Setzen Sie Code-Reviews konsequent um, signieren Sie Commits und beschränken Sie den Zugriff auf Repositorys.
  4. Provenance generieren und verifizieren: Verwenden Sie Tools, die kryptografische Signaturen und die Validierung von Artefakten unterstützen.
  5. Realistische SLSA-Ziele setzen: Fangen Sie klein an und starten Sie mit umsetzbaren ersten Schritten: Etablieren Sie zuerst Level 1 und arbeiten Sie sich schrittweise bis Level 3 hoch, während sich Ihre Pipeline weiterentwickelt.

Wie Sie die häufigsten Stolpersteine vermeiden

Die Implementierung von SLSA kann scheitern, wenn Teams auf manuelle Build-Prozesse setzen, Provenance-Checks überspringen oder Versionskontrolle und Zugriffsrichtlinien nur inkonsistent anwenden. Ohne angemessene Schulungen zu sicheren Entwicklungsmethoden könnten Teams Schwierigkeiten haben, Compliance aufrechtzuerhalten oder alle Benefits des Frameworks voll auszuschöpfen.

Tools zur Unterstützung der SLSA-Implementierung

Der Grundstein für die SLSA-Implementierung ist ein automatisiertes Tool zur Erfassung von Nachweisen, das Provenance aufzeichnet. Sie können Open-Source-Tools wie Sigstore (einschließlich Cosign und Rekor) nutzen, um die Signierung und Verifizierung der Software-Provenance zu unterstützen. Die SLSA.dev-Seite bietet aktuelle Spezifikationen und Dokumentationen und stellt insgesamt ein Framework zur Absicherung der gesamten Software-Lieferkette bereit.

Darüber hinaus bieten auch andere Anbieter integrierte Lösungen für die automatisierte Erfassung von Nachweisen – von Compliance-Automatisierungsanbietern über DevOps-Plattformen bis hin zu ASPM-Anbietern. Wir empfehlen, eine Lösung zu wählen, die optimal zu Ihren Anforderungen passt, damit Sie Ihren SDLC mit dem vollständigen Anwendungskontext optimieren und Ihre SLSA-Compliance skalierbar machen können.

So unterstützt JFrog SLSA

JFrog unterstützt die Einführung von SLSA, indem jede Phase des Software-Build- und -Delivery-Prozesses abgesichert wird. JFrogs Evidence Collection automatisiert die Sammlung signierter Nachweise über den gesamten SDLC hinweg und hilft Ihnen so bei der nahtlosen Ausrichtung Ihrer Builds an den SLSA-Levels.

JFrog Artifactory bietet sichere Artefakt-Speicherung mit integrierter Traceability, während JFrog Xray Schwachstellenscans und das Durchsetzen von Richtlinien ermöglicht.

Weitere Informationen finden Sie auf unserer Website, in einer virtuellen Tour oder bei einer persönlichen Demo.

Weitere Resources

Security Research
Software-Lieferkette: Zum Stand der Dinge 2025
Jetzt Report downloaden
Help Center
JFrog Evidence Collection
Mehr zu Evidence Management
Blog
Einhaltung der NIS2-Richtlinie2025: Compliance muss nicht kompliziert sein
Artikel lesen

Mehr zum Thema GRC

JFrog Artifactory

Eine End-to-End-DevOps-Plattform zur Verwaltung, Sicherung und Nachverfolgung aller Artefakte, Binärdateien, Pakete, Dateien, Container und Komponenten in der Software-Lieferkette.

Jetzt JFrog Artifactory entdecken

JFrog Xray

Unsere universelle Software Composition Analysis-Lösung, für die proaktive Identifizierung von Schwachstellen.

Jetzt JFrog Xray entdecken

JFrog Evidence Collection

Schnellere Bereitstellung von vertrauenswürdiger Software und Audits durch einen überprüfbaren Nachweis signierter Belege.

Jetzt entdecken

Release Fast Or Die

Start Free