ソフトウェア・サプライチェーンへの攻撃が世界規模で深刻化する中、Googleが提唱する**SLSA(Supply-chain Levels for Software Artifacts)**が注目を集めています。本記事では、大規模インシデントを背景に、SLSAがどのようにビルド環境の改ざんや悪意ある依存関係の混入を防ぎ得るのかを解説。脅威モデルや各レベルの概要、Provenanceによる改ざん検知の仕組み、そして現状の課題と将来のL4(再現可能ビルド)の方向性を紹介します。企業でサプライチェーンセキュリティを強化したい方に向け、導入のポイントや運用上の注意点も整理しました。