Seguranca da Cadeia de Suprimentos - Definicao do Glossario de CI/CD
Seguranca da cadeia de suprimentos e a pratica de proteger cada etapa que produz e entrega software (fonte, dependencias, build e distribuicao) contra adulteracao. No CI/CD ela abrange commits assinados, dependencias fixadas e verificadas, runners de build endurecidos e artifacts assinados e atestados.
Blocos de construcao comuns
Um SBOM lista o que ha dentro de um artifact, a assinatura (cosign/sigstore) prova quem o construiu, e as atestacoes de proveniencia registram como e onde ele foi construido. Frameworks como o SLSA descrevem niveis de maturidade para esses controles.
No CI
Fixar actions e dependencias por digest, executar builds em runners efemeros com credenciais de menor privilegio e gerar proveniencia durante o build sao controles concretos de cadeia de suprimentos que um pipeline pode adotar.