Das Thema Supply Chain Security wird in der Softwareentwicklung immer wichtiger. Die Angriffe sind in den letzten Jahren sehr raffiniert, teilweise fragmentiert und hoch spezialisiert geworden. Daher ist es nicht immer einfach, solche Angriffe zu identifizieren, geschweige denn einen gerade durchgeführten Angriff zu erkennen. Das SLSA-Projekt der Linux Foundation hat es sich zur Aufgabe gemacht, diese potenzielle Bedrohung zu strukturieren und das Wissen darüber möglichst vielen Menschen zugänglich zu machen.
Wo das Projekt seine Grenzen sieht und welche Konsequenzen dies für den regulären Softwareentwicklungsbetrieb bedeutet, wird hier betrachtet.