Skip to content
Latchkey

サプライチェーンセキュリティ - CI/CD用語集の定義

サプライチェーンセキュリティは、ソフトウェアを生成し届けるすべての工程(ソース、依存関係、build、配布)を改ざんから保護する実践です。CI/CDでは、署名されたコミット、固定され検証された依存関係、堅牢化されたbuild runner、署名され証明されたartifactを対象とします。

一般的な構成要素

SBOMはartifactの中身を列挙し、署名(cosign/sigstore)は誰がビルドしたかを証明し、provenance attestationはどのように、どこでビルドされたかを記録します。SLSAのようなフレームワークは、これらの管理策の成熟度レベルを記述します。

CIにおいて

actionと依存関係をdigestで固定し、最小権限の資格情報を持つ使い捨てrunnerでbuildを実行し、build中にprovenanceを生成することは、pipelineが採用できる具体的なサプライチェーンの管理策です。

関連ガイド