Что такое Supply Chain Security и SLSA?

Software Supply Chain Security защищает путь от исходного кода до production: репозиторий, CI/CD, зависимости, артефакты, деплой. Атаки: SolarWinds (compromised build), Log4Shell (уязвимость зависимости), typosquatting. SLSA (Supply-chain Levels for Software Artifacts) — фреймворк уровней: L1 (документированный процесс), L2 (версионированный build), L3 (hardened build, нет возможности людям влиять), L4 (hermetic build, воспроизводимый). Sigstore обеспечивает прозрачность артефактов.