---
type: Glossary Term
title: SLSA (Supply-chain Levels for Software Artifacts)
description: "SLSA – ausgesprochen „salsa\" – ist ein offenes Sicherheits-Framework, das nachvollziehbare Integritäts- und Herkunftsgarantien für Software-Artefakte definiert."
resource: "https://www.contextstudios.ai/de/glossar/slsa"
category: security
language: de
timestamp: "2026-06-25T12:03:39.198Z"
---

# SLSA (Supply-chain Levels for Software Artifacts)

SLSA – ausgesprochen „salsa" – ist ein offenes Sicherheits-Framework, das nachvollziehbare Integritäts- und Herkunftsgarantien für Software-Artefakte definiert. Ursprünglich bei Google entstanden und heute unter dem Dach der OpenSSF (Open Source Security Foundation) gepflegt, beschreibt SLSA in aufsteigenden Stufen, wie zuverlässig sich nachweisen lässt, dass ein Artefakt – etwa ein Container-Image, ein npm-Paket oder ein kompiliertes Binary – tatsächlich aus dem behaupteten Quellcode und Build-Prozess stammt und unterwegs nicht manipuliert wurde.

Kern des Frameworks ist die sogenannte Provenance: eine signierte, maschinenlesbare Bescheinigung, die festhält, welcher Quellcode mit welchem Build-System zu welchem Artefakt geführt hat. Die SLSA-Stufen reichen von grundlegender Build-Provenance bis hin zu gehärteten, manipulationssicheren Build-Plattformen mit nicht fälschbaren Nachweisen.

Gegen Lieferkettenangriffe ist SLSA eine direkte Gegenmaßnahme: Wer Provenance erzwingt und vor dem Deployment verifiziert, erkennt untergeschobene oder kompromittierte Abhängigkeiten, bevor sie in die Produktion gelangen. Gerade in KI-Agenten-Pipelines, die im großen Stil fremde Pakete, Modelle und Werkzeuge einbinden, schließt SLSA eine kritische Vertrauenslücke zwischen dem Code, dem ein Team zu vertrauen glaubt, und dem Artefakt, das tatsächlich ausgeführt wird.
