PIB

• SLSA
• GitHub / slsa-framework / slsa

年末年始にかけて emeditor の一時配布サイトが汚染された 20260108: emeditor のインシデント の件などもあったので、サプライチェーンの防疫ちゃんとやらないとなーとか思ってる昨今なんだけど、
利用したいプロダクトに関して GitHub にある repos の release 見ると、

1. Committer が github-actions
2. Imuutable
3. Tag の署名
4. Commit の署名
5. Attestations の公開

の5条件が全部揃ってない場合がまだまだ多くて頭を抱えている。
具体的に言えば

• (☑1,☐2,☐3,☑4,☑5) uv 0.10.7 @ 2026-02-27 release
• (☐1,☐2,☑3,☐4,☐5) rclone v1.73.2 @ 2026-03-07 release

みたいな感じなんだが、むしろ全部揃ってる方が稀では？みたいな状況。
uv に関して言えば、その次のリリースで

• (☑1,☑2,☐3,☑4,☑5) uv 0.10.8 @ 2026-03-03 release

みたいな感じになってるので、あと一歩くらいのところまで改善は進んでいるようではある。

• OpenSSF?
• SBOM