Ora è più facile che mai con il valint slsa di Scribe
SLSA (Supply-chain Levels for Software Artifacts) è un framework di sicurezza che mira a prevenire manomissioni, migliorare l'integrità e proteggere pacchetti e infrastrutture.
Il concetto centrale di SLSA è che un artefatto software può essere considerato attendibile solo se soddisfa tre requisiti:
- L'artefatto dovrebbe avere un documento di Provenienza che ne descriva l'origine e il processo di costruzione (L1).
- Il documento di provenienza dovrebbe essere affidabile e verificato a valle (L2).
- Il sistema di compilazione dovrebbe essere affidabile (L3).
Il framework SLSA definisce i livelli che rappresentano quanto è sicura la catena di fornitura del software. Questi livelli corrispondono al livello di attuazione di questi requisiti (indicati sopra come L1-L3).
Soddisfare i requisiti SLSA è... beh... complesso. Implica una comprensione sfumata delle dipendenze della piattaforma CI, sfida la piena automazione e richiede un'analisi meticolosa della sicurezza dei sistemi e delle pipeline di build.
Se SLSA L3 è la strada da seguire per la tua organizzazione, è tempo di rimboccarti le maniche.
Quello dello Scriba valint slsail comando può essere utilizzato per produrre documenti di provenienza. Di seguito descriviamo come raggiungere i livelli SLSA utilizzando questo strumento.
Ottieni questo caso d'uso, che fornisce la nostra lista di controllo consigliata per guidarti attraverso il processo
