XCon2023议题：依托于SLSA框架的广义可信供应链安全建设实践

随着数字化时代的到来，软件供应链的安全性与完整性愈发凸显，面对不断增长的供应链安全威胁，传统的安全模型已难以胜任。在这一背景下，Google提出的SLSA框架（Supply-chain Levels for Software Artifact）应运而生，成为一种革新性的软件构建和分发模型，为从软件开发到部署的供应链安全问题提供了系统性的解决方案。

SLSA框架旨在确保软件供应链的完整性与可信性，它将整个供应链划分为不同的环节，从源码、构建到发布，分为1至4级的可证明元结构数据生成、校验与准入环节。这些环节的严密管理与监控，旨在确保最终制品软件不受篡改，同时满足严格的安全要求。然而，SLSA框架的应用远不止于此，它赋予了我们拓展狭义上的组件安全与制品安全的能力，并将安全的范围扩展到基础软件系统、移动应用与设备、云原生体系等多个领域，从而实现了广义可信供应链安全的目标。

本届XCon2023大会中，来自京东集团的首席安全研究员，京东安全实验室负责人何淇丹（Flanker）将带来《依托于SLSA框架的广义可信供应链安全建设实践》的分享，从多个维度深入介绍SLSA框架的理论基础和架构实现，并分享在广义可信供应链安全落地实践中所遇到的各种挑战，以及如何改进SLSA框架以适应更加复杂的业务环境。

本议题最大的亮点在于首次将SLSA概念与可信概念相结合，从而拓展了SLSA的适用范围，从解决单独的供应链安全问题变成了新的安全体系底座，在安全能力的复用中，为企业安全体系的建设提出了全新的视角。本次分享中Flanker也将结合大量实践中的攻防案例，详细分析这一框架在对抗安全风险时的具体措施与解决方案。

京东集团首席安全研究员，京东安全实验室负责人，高级总监。Pwn2Own Mobile和PC双料冠军，黑客奥斯卡Pwnie Award最佳提权漏洞奖得主，Google/Samsung/华为安全全球名人堂成员。多次在BlackHat & DEFCON & CanSecWest & RECon & MOSEC & PoC等发表演讲。

XCon2023