Agora é mais fácil do que nunca com o valioso slsa do Scribe
SLSA (Níveis da cadeia de suprimentos para artefatos de software) é uma estrutura de segurança que visa prevenir adulterações, melhorar a integridade e proteger pacotes e infraestrutura.
O conceito central do SLSA é que um artefato de software só pode ser confiável se atender a três requisitos:
- O artefato deverá possuir documento de procedência descrevendo sua origem e processo de construção (L1).
- O documento de proveniência deve ser confiável e verificado a jusante (L2).
- O sistema de construção deve ser confiável (L3).
A estrutura SLSA define níveis, que representam o quão segura é a cadeia de fornecimento de software. Estes níveis correspondem ao nível de implementação destes requisitos (indicados como L1-L3 acima).
Atender aos requisitos de SLSA é... bem... complexo. Envolve uma compreensão diferenciada das dependências da plataforma CI, desafia a automação total e exige uma análise de segurança meticulosa de sistemas de construção e pipelines.
Se SLSA L3 é o caminho a seguir para sua organização, é hora de arregaçar as mangas.
Escriba valint slsaO comando pode ser usado para produzir documentos de proveniência. A seguir, descrevemos como atingir os níveis de SLSA usando esta ferramenta.
Obtenha este caso de uso, que fornece nossa lista de verificação recomendada para guiá-lo durante o processo
