SolarWinds, Codecov, Log4Shell — supply chain útoky jsou nový normál. Jak zajistit, že software, který nasazujete, je ten, který jste zbuildovali?
SLSA Framework¶
SLSA (Supply-chain Levels for Software Artifacts) — framework od Googlu definující úrovně zabezpečení build pipeline:
- Level 1 — dokumentovaný build proces
- Level 2 — verzovaný build service (CI/CD)
- Level 3 — hardened build platform, provenance
Sigstore pro podepisování¶
Cosign (součást Sigstore) podepisuje container images. Každý image v našem registru je podepsaný, keyless signing přes OIDC. Kubernetes admission controller ověřuje podpis před deploymentem.
SBOM v CI/CD¶
Syft generuje SBOM při každém buildu. SBOM se připojí k release artefaktu. Grype skenuje SBOM proti CVE databázi. Vše automatizované, žádný manuální krok.
Trust, but verify — automaticky¶
Supply chain security musí být automatizovaná součást CI/CD. SLSA + Sigstore + SBOM = základ pro důvěryhodný software.
slsasigstoresupply chainsbomsecurity