O Que É Segurança da Cadeia de Suprimentos?
A segurança da cadeia de suprimentos trata de proteger contra adulteração tudo que flui para dentro do seu software - dependências, ferramentas de build e o próprio pipeline.
Os atacantes cada vez mais miram não o app, mas o que o constrói: uma dependência comprometida, uma ação de build maliciosa ou um cache envenenado pode injetar código em tudo que você entrega. A segurança da cadeia de suprimentos defende todo o caminho da fonte ao artifact.
A superfície de ataque
- Dependências: um pacote malicioso ou sequestrado na sua árvore.
- Ferramentas de build: uma ação de CI ou imagem de container comprometida.
- O pipeline: secrets vazados, caches envenenados, artifacts adulterados.
Defesas centrais
Fixe dependências e ações em versões ou digests exatos, faça scan de dependências em busca de vulnerabilidades conhecidas, gere um SBOM, rode builds com menor privilégio e assine artifacts para que os consumidores possam verificar o que recebem.
Um pequeno exemplo
Fixar uma ação de terceiros em um SHA de commit completo (uses: owner/action@<sha>) em vez de uma tag móvel significa que uma tag sequestrada não pode silenciosamente injetar código malicioso - o SHA sempre resolve apenas para o código que você revisou.
A proveniência amarra tudo
A proveniência de build - uma declaração assinada de como e a partir de quê um artifact foi construído - permite que consumidores downstream verifiquem que um artifact realmente veio do seu pipeline e da sua fonte, fechando o ciclo de confiança.
É um problema em camadas
Nenhum controle isolado é suficiente. Pinning, scanning, SBOMs, menor privilégio, assinatura e proveniência cada um fecha uma brecha; juntos, eles tornam o caminho da fonte à produção resistente à adulteração em cada passo.
Principais conclusões
- A segurança da cadeia de suprimentos protege todo o caminho da fonte ao artifact.
- As ameaças incluem dependências maliciosas, ferramentas de build e adulteração do pipeline.
- Defesas: pin, scan, SBOM, menor privilégio e proveniência assinada.