サプライチェーンセキュリティ - CI/CD用語集の定義
サプライチェーンセキュリティは、ソフトウェアを生成し届けるすべての工程(ソース、依存関係、build、配布)を改ざんから保護する実践です。CI/CDでは、署名されたコミット、固定され検証された依存関係、堅牢化されたbuild runner、署名され証明されたartifactを対象とします。
一般的な構成要素
SBOMはartifactの中身を列挙し、署名(cosign/sigstore)は誰がビルドしたかを証明し、provenance attestationはどのように、どこでビルドされたかを記録します。SLSAのようなフレームワークは、これらの管理策の成熟度レベルを記述します。
CIにおいて
actionと依存関係をdigestで固定し、最小権限の資格情報を持つ使い捨てrunnerでbuildを実行し、build中にprovenanceを生成することは、pipelineが採用できる具体的なサプライチェーンの管理策です。
関連ガイド
SBOM - CI/CD Glossary DefinitionAn SBOM (Software Bill of Materials) is a machine-readable inventory of every component and dependency in a b…
Provenance Attestation - CI/CD Glossary DefinitionProvenance Attestation: A provenance attestation is signed metadata that records how an artifact was built: t…
Cosign Signing - CI/CD Glossary DefinitionCosign Signing: Cosign is a tool from the Sigstore project that signs and verifies container images and other…