主要观点：软件来源在组织确保供应链安全和遵守标准方面变得重要，HashiCorp 强调其 HCP Packer 服务可支持 SLSA 合规，如 SolarWinds 和 CodeCov 等攻击显示构建过程受侵的危害，监管部门已作出要求，从业者需证明软件构建方式，Sigstore 和 in-toto 塑造了行业处理来源的方式，HashiCorp 的 Packer 已包含元数据捕获并新增 SBOM 生成，众多供应商依赖 OSS 工具 traversal SLSA 框架各层，虽支持增长但采用并非易事，工程团队能从来源中受益，来源正成为标准特征而非附加项。
关键信息：HashiCorp 的 HCP Packer 服务可捕获构建元数据和 SBOM 以支持 SLSA 合规；SolarWinds 和 CodeCov 攻击案例；美国和欧洲的相关监管要求；Sigstore 提供加密签名和透明基础设施；in-toto 确保整个管道安全；Packer 长期包含元数据捕获及新增功能；GitHub 引入相关功能；Red Hat 的 Konflux 发行 in-toto 证明；采用 SLSA 框架存在困难及对工程团队的好处。
重要细节：recent blog post提及 HCP Packer 服务；Executive Order 14028要求联邦软件供应商提供可验证来源；in-toto的布局模型；Sigstore的相关内容；关于采用 SLSA 框架的研究等。