Skip to content
Latchkey

O Que É Segurança da Cadeia de Suprimentos?

A segurança da cadeia de suprimentos trata de proteger contra adulteração tudo que flui para dentro do seu software - dependências, ferramentas de build e o próprio pipeline.

Os atacantes cada vez mais miram não o app, mas o que o constrói: uma dependência comprometida, uma ação de build maliciosa ou um cache envenenado pode injetar código em tudo que você entrega. A segurança da cadeia de suprimentos defende todo o caminho da fonte ao artifact.

A superfície de ataque

  • Dependências: um pacote malicioso ou sequestrado na sua árvore.
  • Ferramentas de build: uma ação de CI ou imagem de container comprometida.
  • O pipeline: secrets vazados, caches envenenados, artifacts adulterados.

Defesas centrais

Fixe dependências e ações em versões ou digests exatos, faça scan de dependências em busca de vulnerabilidades conhecidas, gere um SBOM, rode builds com menor privilégio e assine artifacts para que os consumidores possam verificar o que recebem.

Um pequeno exemplo

Fixar uma ação de terceiros em um SHA de commit completo (uses: owner/action@<sha>) em vez de uma tag móvel significa que uma tag sequestrada não pode silenciosamente injetar código malicioso - o SHA sempre resolve apenas para o código que você revisou.

A proveniência amarra tudo

A proveniência de build - uma declaração assinada de como e a partir de quê um artifact foi construído - permite que consumidores downstream verifiquem que um artifact realmente veio do seu pipeline e da sua fonte, fechando o ciclo de confiança.

É um problema em camadas

Nenhum controle isolado é suficiente. Pinning, scanning, SBOMs, menor privilégio, assinatura e proveniência cada um fecha uma brecha; juntos, eles tornam o caminho da fonte à produção resistente à adulteração em cada passo.

Principais conclusões

  • A segurança da cadeia de suprimentos protege todo o caminho da fonte ao artifact.
  • As ameaças incluem dependências maliciosas, ferramentas de build e adulteração do pipeline.
  • Defesas: pin, scan, SBOM, menor privilégio e proveniência assinada.

Guias relacionados