_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

Supply Chain Security

01. 01. 2024 1 min čtení intermediate

Supply chain útoky rostou exponenciálně. Kompromitovaná závislost, build pipeline nebo registry = backdoor ve vašem software.

Ochranné vrstvy

  1. Signed commits (GPG, SSH signing)
  2. Lockfile + integrity checks
  3. Dependency pinning (exact versions)
  4. Private registry / proxy
  5. Signed artifacts (Cosign, Sigstore)
  6. SLSA framework compliance

Signed commits

git config –global commit.gpgsign true git config –global gpg.format ssh git config –global user.signingkey ~/.ssh/id_ed25519.pub

SLSA Framework

  • Level 1: Build scripted, provenance generated
  • Level 2: Hosted build, signed provenance
  • Level 3: Hardened build platform
  • Level 4: Two-party review, hermetic builds

Klíčový takeaway

Podepisujte commity a artefakty. Pinujte závislosti. SLSA framework jako roadmap pro supply chain security.

securitysupply chainslsaci/cd

Další know-how

Supply Chain Security — SLSA, Sigstore a software provenance

Zabezpečení software supply chain. SLSA framework, Sigstore pro podepisování artefaktů a SBOM v CI/CD.

DevSecOps — security v každém kroku CI/CD pipeline

Security jako afterthought je drahé. Jak jsme integrovali SAST, DAST, dependency scanning a compliance checks do CI/CD.

DevSecOps a Shift Left — bezpečnost od prvního řádku kódu

Jak jsme integrovali bezpečnost do CI/CD pipeline. SAST, DAST, dependency scanning a security champions.