Теперь с valint slsa от Scribe это проще, чем когда-либо.
SLSA (Уровни цепочки поставок для программных артефактов) — это система безопасности, целью которой является предотвращение несанкционированного доступа, повышение целостности и защита пакетов и инфраструктуры.
Основная концепция SLSA заключается в том, что программному артефакту можно доверять только в том случае, если он соответствует трем требованиям:
- Артефакт должен иметь документ происхождения, описывающий его происхождение и процесс создания (L1).
- Документ о происхождении должен быть заслуживающим доверия и проверенным в дальнейшем (L2).
- Система сборки должна быть надежной (L3).
Структура SLSA определяет уровни, которые показывают, насколько безопасна цепочка поставок программного обеспечения. Эти уровни соответствуют уровню реализации этих требований (отмечено выше как L1-L3).
Соблюдение требований SLSA… ну… сложное. Он предполагает детальное понимание зависимостей CI-платформы, не поддается полной автоматизации и требует тщательного анализа безопасности систем сборки и конвейеров.
Если SLSA L3 — это путь вперед для вашей организации, пришло время засучить рукава.
Писец valint slsaКоманда может использоваться для создания документов Provenance. Ниже мы опишем, как достичь уровней SLSA с помощью этого инструмента.
Получите этот вариант использования, в котором представлен рекомендуемый контрольный список, который поможет вам пройти через этот процесс.
