이제 Scribe의 valint slsa를 사용하면 그 어느 때보다 쉬워졌습니다.
SLSA(소프트웨어 아티팩트 공급망 수준)는 변조 방지, 무결성 향상, 패키지 및 인프라 보안을 목표로 하는 보안 프레임워크입니다.
SLSA의 핵심 개념은 소프트웨어 아티팩트가 다음 세 가지 요구 사항을 준수하는 경우에만 신뢰할 수 있다는 것입니다.
- 유물에는 원산지와 제작 과정을 설명하는 출처 문서가 있어야 합니다(L1).
- 출처 문서는 신뢰할 수 있고 검증된 다운스트림(L2)이어야 합니다.
- 빌드 시스템은 신뢰할 수 있어야 합니다(L3).
SLSA 프레임워크는 소프트웨어 공급망이 얼마나 안전한지 나타내는 수준을 정의합니다. 이러한 수준은 이러한 요구 사항의 구현 수준(위에서 L1-L3으로 표시됨)에 해당합니다.
SLSA 요구 사항을 충족하는 것은 .. 음 .. 복잡합니다. 여기에는 CI 플랫폼 종속성에 대한 미묘한 이해가 필요하고, 전체 자동화를 거부하며, 빌드 시스템 및 파이프라인에 대한 세심한 보안 분석이 필요합니다.
SLSA L3가 조직의 미래를 위한 길이라면 이제 소매를 걷어붙여야 할 때입니다.
서기관의 valint slsa명령을 사용하여 출처 문서를 생성할 수 있습니다. 다음에서는 이 도구를 사용하여 SLSA 레벨을 달성하는 방법을 설명합니다.
프로세스를 안내하는 권장 체크리스트를 제공하는 이 사용 사례를 확인하세요.
