Le cadre slsa continue d'évoluer, et le nouveau SLSA v1.2 Cette version apporte des mises à jour importantes pour tous ceux qui développent des logiciels modernes pipelineContrairement aux versions précédentes, SLSA v1.2 met davantage l'accent sur l'adoption pratique, des garanties de provenance renforcées et des règles plus claires pour attestation SLSA. Comme les attaques contre la chaîne d'approvisionnement logicielle continuent d'augmenter, les développeurs ont désormais besoin d'un moyen simple et fiable de vérifier comment chaque artefact a été construit et quels systèmes y ont accédé.
Ce guide explique les nouveautés dans Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels v1.2, pourquoi le cadre slsa devient une norme pour software supply chain security et comment vous pouvez appliquer naturellement ces exigences dans vos flux de travail CI et CD.
1. Qu'est-ce que SLSA et pourquoi les développeurs s'appuient sur le framework SLSA ?
SLSA signifie Supply chain Levels for Software Artifacts (Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels). cadre slsa protège la chaîne d'approvisionnement logicielle car elle vérifie le flux du code lors des compilations, l'intégration des dépendances dans un projet et le déplacement des artefacts. pipelineElle définit des règles claires en matière de provenance, d'isolement et d'intégrité afin que les équipes comprennent exactement ce qu'elles expédient.
Les développeurs s'appuient sur les niveaux de la chaîne d'approvisionnement des artefacts logiciels car cela répond à une question pratique : pouvez-vous prouver comment votre système de compilation a créé un binaire et si ce processus a été altéré ? C'est crucial en situation réelle. pipelineDans les environnements où les dépendances évoluent fréquemment et où les compilations s'exécutent sur de nombreux systèmes, SLSA réduit les risques d'empoisonnement des dépendances, de compromission des étapes de compilation et de modifications non autorisées pouvant survenir au sein de flux de travail complexes.
2. Nouveautés de SLSA v1.2
La version 1.2 de SLSA introduit plusieurs modifications qui facilitent son adoption et la rendent plus réaliste pour les équipes de développement. Ces mises à jour alignent également la spécification sur les pratiques actuelles de développement logiciel des entreprises.
Exigences de construction plus robustes
SLSA v1.2 clarifie les exigences d'isolation des builds afin que les développeurs puissent comprendre quelles parties d'un pipeline Il est indispensable de contrôler cela. Cela permet de réduire la confusion avec les versions précédentes et aide les équipes à appliquer des protections cohérentes aux exécuteurs, aux générateurs et aux orchestrateurs.
Révisions du format d'attestation SLSA v1.2
La nouvelle version met à jour la structure d'attestation SLSA afin de simplifier la génération et l'utilisation des preuves. Les attestations sont désormais plus faciles à analyser, ce qui permet aux outils d'automatiser la vérification en réduisant le nombre d'interventions manuelles.
Exigences de provenance mises à jour
Le schéma de provenance capture désormais davantage d'informations sur les dépendances, les paramètres de compilation et les sources fiables. Il devient ainsi plus facile de retracer l'origine de chaque artefact.
Améliorations de la sécurité des dépendances
Étant donné que les attaques de la chaîne d'approvisionnement commencent souvent par des packages compromis, Supply chain Levels for Software Artifacts v1.2 renforce les exigences en matière de sélection des dépendances, de contrôle des versions et de validation.
Définitions plus claires de l'isolement
Cette spécification améliore les définitions relatives aux environnements hermétiques et isolés. Elle permet aux développeurs de valider plus précisément leur logique de compilation et d'éviter de faire confiance accidentellement à des systèmes non sécurisés.
3. SLSA v1.2 vs Versions précédentes
Vous trouverez ci-dessous une comparaison visuelle montrant comment SLSA v1.2 modifie les attentes en matière de provenance, d'isolation des builds et d'attestation SLSA.
| Région | SLSA v1.1 | SLSA v1.2 |
|---|---|---|
| Provenance | provenance de base avec métadonnées de dépendance limitées | Provenance étendue avec un suivi plus approfondi des dépendances et des paramètres de compilation |
| Attestation | Format d'attestation plus rigide | Modèle d'**attestation SSLA** amélioré pour une automatisation et une validation simplifiées |
| Construction d'un isolement | Conseils généraux d'isolement | Définitions plus claires pour les constructeurs isolés et les constructions hermétiques |
| Contrôles de dépendance | Attentes limitées | Des règles plus strictes pour la sélection, le suivi et la vérification des dépendances |
| Difficultés d'adoption | Ambiguïté occasionnelle dans les exigences | Plus pratique et plus facile à appliquer pour les équipes de développement |
4. Comprendre l'attestation SLSA
A attestation SLSA Une attestation est une déclaration signée qui prouve comment un artefact logiciel a été créé. Elle décrit le processus de compilation, le code source, les dépendances et l'environnement qui a produit le binaire. Les attestations suivant un schéma fixe, les outils peuvent les valider automatiquement.
Pour les développeurs, cela signifie qu'il est possible de vérifier qu'une compilation provient bien de l'environnement attendu. pipeline et n'a pas été modifié par un système non fiable. De plus, les attestations permettent de détecter rapidement toute falsification, car les modifications suspectes apparaissent directement dans la provenance.
5. Comment Xygeni vous aide à atteindre les exigences de SLSA v1.2
Xygeni fournit un complet build security couche qui correspond étroitement à cadre slsaAu lieu de s'appuyer sur des revues manuelles, vous bénéficiez de contrôles continus sur le code, les dépendances et l'intégration continue. pipelines.
Validation de la provenance et de l'attestation
Xygeni valide les fichiers de provenance, vérifie attestation SLSA Le contenu et les contrôles qui génèrent des métadonnées correspondent aux sources attendues.
Surveillance des scripts de génération
Xygeni surveille les scripts de compilation pour détecter les modifications non autorisées, les commandes dangereuses ou les comportements suspects au sein du système. pipelines.
Vérification des dépendances
Xygeni vérifie l'intégrité, l'historique des versions et le niveau de confiance des dépendances afin de réduire le risque de compromission des paquets.
Intégrité des artefacts
Xygeni analyse les artefacts pour détecter toute altération et s'assure qu'ils correspondent au résultat attendu de la compilation.
Pipeline Security
Xygeni confirme que CI et CD pipelines'appuient sur des modèles de construction cohérents et sécurisés.
SBOM et cartographie de la chaîne d'approvisionnement
Xygeni génère et analyse SBOMs, ce qui aide les équipes à satisfaire SLSA provenance et les exigences d'audit en aval.
Par conséquent, les équipes peuvent atteindre les objectifs de SLSA v1.2 sans ralentir le développement et sans avoir à assembler plusieurs outils.
6. Dernières réflexions sur la mise à jour SLSA v1.2
La version 1.2 de Supply Chain Levels for Software Artifacts apporte plus de clarté et de garanties à la chaîne d'approvisionnement logicielle. De plus, les développeurs disposent désormais d'un moyen plus simple de comprendre la provenance, de vérifier l'intégrité des builds et de mettre en œuvre des contrôles cohérents. pipelines. La spécification devient également plus facile à adopter, et attestation SLSA Elle joue un rôle central pour prouver comment le logiciel a été créé. Grâce à elle, les équipes peuvent établir une plus grande confiance dans les livrables qu'elles délivrent.
Avec Xygeni, vous pouvez appliquer cadre slsa à l'intérieur de votre existant SDLCDe plus, vous pouvez valider automatiquement la provenance, vérifier en continu les dépendances et protéger vos builds contre toute compromission. Ainsi, vous renforcez votre chaîne d'approvisionnement sans ralentir le développement.
👉 Commencer votre essai gratuit or Prendre un rdv de démo et sécurisez vos constructions avec SLSA v1.2
