Supply-Chain-Angriffe wachsen exponentiell. Eine kompromittierte Abhängigkeit, Build-Pipeline oder Registry = Backdoor in Ihrer Software.
Schutzschichten¶
- Signierte Commits (GPG, SSH Signing)
- Lockfile + Integritätsprüfungen
- Dependency Pinning (exakte Versionen)
- Private Registry / Proxy
- Signierte Artefakte (Cosign, Sigstore)
- SLSA-Framework-Compliance
Signierte Commits¶
git config –global commit.gpgsign true git config –global gpg.format ssh git config –global user.signingkey ~/.ssh/id_ed25519.pub
SLSA Framework¶
- Level 1: Build geskriptet, Provenance generiert
- Level 2: Gehosteter Build, signierte Provenance
- Level 3: Gehärtete Build-Plattform
- Level 4: Vier-Augen-Prinzip, hermetische Builds
Wichtigste Erkenntnis¶
Signieren Sie Commits und Artefakte. Pinnen Sie Abhängigkeiten. SLSA-Framework als Roadmap für Supply Chain Security.
securitysupply chainslsaci/cd