2021/05 美國境內負責原油輸送的 Colonial Pipeline 的 IT 系統，遭受到了勒索病毒的攻擊與癱瘓，美國白宮於同月，立即發布了軟體安全性相關規範的執行命令 (EO14028)，要求未來公家單位所使用的關鍵軟體均能於 2022/05 前符合其要求。

許多人可能以為，是不是容器鏡像在弱掃時，沒有發現 Medium 或以上的弱點就夠了呢？其實此次的軟體安全性，除了 Vulnerability 外，還一併要求軟體符合安全開發的相關實踐並保證軟體的完整性等。這些的實踐，Google 與 Open Source Security Foundation (OSSF) 連袂推動了 SLSA (Software Supply Chain Levels for Software Artifacts) 的軟體開發安全框架，以近年來的八個嚴重的資安事件 (e.g. SolarWind & CodeCov 等)，來確認安全框架的可行性。同時提供多個開源專案供企業無償使用。 

在這個Session中，我們希望通過40分鐘的時間，跟與會聽眾分享在雲原生應用上 (Cloud Native Application) 建議執行的相關資安管控，並將其以 SLSA 架構，建構企業內完整的容器資安開發機制，落實在日常生活中。