使用 Scribe 的 valint slsa 现在比以往任何时候都更容易
SLSA(软件工件的供应链级别)是一个安全框架,旨在防止篡改、提高完整性以及保护包和基础设施的安全。
SLSA 的核心概念是软件工件只有满足三个要求才可以被信任:
- 该工件应具有描述其起源和构建过程的出处文档(L1)。
- 出处文件应该值得信赖并经过下游验证(L2)。
- 构建系统应该是值得信赖的(L3)。
SLSA 框架定义了级别,代表软件供应链的安全程度。这些级别对应于这些要求的实施级别(上面标记为L1-L3)。
满足 SLSA 要求是.. 嗯.. 复杂的。它涉及对 CI 平台依赖性的细致理解,无法完全自动化,并且需要对构建系统和管道进行细致的安全分析。
如果 SLSA L3 是您组织的前进道路,那么是时候卷起袖子加油了。
抄写员的 valint slsa命令可用于生成 Provenance 文档。接下来,我们将描述如何使用此工具达到 SLSA 级别。
获取此用例,其中提供了我们推荐的清单来指导您完成整个过程
