Skip to content
Latchkey

Seguranca da Cadeia de Suprimentos - Definicao do Glossario de CI/CD

Seguranca da cadeia de suprimentos e a pratica de proteger cada etapa que produz e entrega software (fonte, dependencias, build e distribuicao) contra adulteracao. No CI/CD ela abrange commits assinados, dependencias fixadas e verificadas, runners de build endurecidos e artifacts assinados e atestados.

Blocos de construcao comuns

Um SBOM lista o que ha dentro de um artifact, a assinatura (cosign/sigstore) prova quem o construiu, e as atestacoes de proveniencia registram como e onde ele foi construido. Frameworks como o SLSA descrevem niveis de maturidade para esses controles.

No CI

Fixar actions e dependencias por digest, executar builds em runners efemeros com credenciais de menor privilegio e gerar proveniencia durante o build sao controles concretos de cadeia de suprimentos que um pipeline pode adotar.

Guias relacionados