Mit dem Valint SLSA von Scribe ist es jetzt einfacher als je zuvor
SLSA (Supply-Chain Levels for Software Artifacts) ist ein Sicherheitsrahmenwerk, das darauf abzielt, Manipulationen zu verhindern, die Integrität zu verbessern und Pakete und Infrastruktur zu sichern.
Das Kernkonzept von SLSA besteht darin, dass einem Softwareartefakt nur dann vertraut werden kann, wenn es drei Anforderungen erfüllt:
- Das Artefakt sollte über ein Provenienzdokument verfügen, das seine Herkunft und seinen Herstellungsprozess beschreibt (L1).
- Das Provenienzdokument sollte vertrauenswürdig sein und nachgelagert verifiziert werden (L2).
- Das Build-System sollte vertrauenswürdig sein (L3).
Das SLSA-Framework definiert Stufen, die darstellen, wie sicher die Software-Lieferkette ist. Diese Stufen entsprechen dem Grad der Umsetzung dieser Anforderungen (oben als L1-L3 bezeichnet).
Die Erfüllung der SLSA-Anforderungen ist … nun ja … komplex. Es erfordert ein differenziertes Verständnis der CI-Plattform-Abhängigkeiten, widersetzt sich einer vollständigen Automatisierung und erfordert eine sorgfältige Sicherheitsanalyse von Build-Systemen und Pipelines.
Wenn SLSA L3 der Weg nach vorne für Ihr Unternehmen ist, ist es an der Zeit, die Ärmel hochzukrempeln.
Schreiber valint slsaMit dem Befehl können Provenienzdokumente erstellt werden. Im Folgenden beschreiben wir, wie Sie mit diesem Tool SLSA-Level erreichen.
Holen Sie sich diesen Anwendungsfall, der unsere empfohlene Checkliste enthält, die Sie durch den Prozess führt
