SolarWinds, Codecov, Log4Shell — Supply-Chain-Angriffe sind die neue Normalität. Wie stellt man sicher, dass die Software, die man deployt, auch die ist, die man gebaut hat?
SLSA-Framework¶
SLSA (Supply-chain Levels for Software Artifacts) — ein Framework von Google, das Sicherheitsstufen der Build-Pipeline definiert:
- Level 1 — dokumentierter Build-Prozess
- Level 2 — versionierter Build-Service (CI/CD)
- Level 3 — gehärtete Build-Plattform, Provenance
Sigstore für die Signierung¶
Cosign (Teil von Sigstore) signiert Container Images. Jedes Image in unserem Registry ist signiert, mit Keyless Signing über OIDC. Ein Kubernetes Admission Controller überprüft die Signatur vor dem Deployment.
SBOM in CI/CD¶
Syft generiert eine SBOM bei jedem Build. Die SBOM wird dem Release-Artefakt beigefügt. Grype scannt die SBOM gegen CVE-Datenbanken. Alles automatisiert, keine manuellen Schritte.
Vertrauen, aber verifizieren — automatisch¶
Supply Chain Security muss ein automatisierter Teil der CI/CD sein. SLSA + Sigstore + SBOM = die Grundlage für vertrauenswürdige Software.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns