此 slsa框架 不断发展,以及新的 SLSA v1.2 发布带来了重要更新 对于任何在现代环境中构建软件的人来说,这都适用。 pipeline与之前的版本不同,SLSA v1.2 更注重实际应用、更强的溯源保证和更清晰的规则。 SLSA认证由于软件供应链攻击持续增加,开发人员现在需要一种简单可靠的方法来验证每个工件是如何构建的以及哪些系统接触过它。
本指南解释了以下方面的新增内容: 软件制品供应链层级 v1.2, 为什么 slsa框架 正在成为基准 software supply chain security 以及如何将这些要求自然地应用到您的 CI 和 CD 工作流程中。
1. 什么是 SLSA?为什么开发者依赖 SLSA 框架?
SLSA 代表软件制品供应链层级。 slsa框架 它保护软件供应链,因为它验证代码如何在构建过程中流动、依赖项如何进入项目以及工件如何在项目间移动。 pipeline它为溯源、隔离和完整性制定了明确的规则,以便团队能够准确地了解他们交付的内容。
开发人员之所以依赖软件制品供应链层级,是因为它能回答一个实际问题:能否证明构建系统是如何创建二进制文件的,以及这个过程是否被篡改过?这在实际应用中至关重要。 pipeline在依赖关系频繁变化且构建过程跨多个系统执行的情况下,SLSA 可以降低依赖项中毒、构建步骤受损以及复杂工作流中出现未经授权更改的风险。
2. SLSA v1.2 的新特性
SLSA v1.2 引入了多项变更,使开发团队能够更轻松、更实际地采用该规范。这些更新也使规范与当今组织构建软件的方式保持一致。
更严格的建造要求
SLSA v1.2 明确了构建隔离要求,以便开发人员能够了解哪些部分…… pipeline 必须加以控制。这可以减少早期版本带来的混乱,并帮助团队对运行器、构建器和编排器应用一致的保护措施。
SLSA v1.2 证明格式修订
新版本更新了 SLSA 认证结构,简化了证据的生成和使用方式。认证现在更容易解析,这有助于工具以更少的人工步骤实现自动化验证。
更新后的溯源要求
溯源架构现在能够捕获更多关于依赖项、构建参数和可信来源的信息。因此,可以更轻松地追溯每个工件的来源。
依赖项安全增强
由于供应链攻击通常始于受损的软件包,《软件工件供应链级别 v1.2》加强了对依赖项选择、版本控制和验证的期望。
更清晰的隔离定义
该规范改进了对密封构建和隔离环境的定义。这使得开发人员能够更准确地验证其构建逻辑,并避免意外地信任不安全的系统。
3. SLSA v1.2 与先前版本对比
下面这张对比图展示了 SLSA v1.2 如何改变对溯源、构建隔离和 slsa 证明的预期。
| 区域 | SLSA v1.1 | SLSA v1.2 |
|---|---|---|
| 出处 | 具有有限依赖元数据的基本溯源信息 | 扩展了溯源信息,增加了依赖关系和构建参数跟踪功能 |
| 证明书 | 更严格的证明格式 | 改进的 **slsa 认证** 模型,便于自动化和验证 |
| 构建隔离 | 一般隔离指南 | 对独立建造者和密封建造者进行更清晰的定义 |
| 依赖关系控制 | 期望有限 | 更严格的依赖项选择、跟踪和验证规则 |
| 收养困难 | 需求中偶尔存在歧义 | 更实用,也更容易被开发团队应用 |
4. 了解 SLSA 认证
A SLSA认证 证明文件是一份签名声明,用于证明软件工件的创建过程。它描述了构建过程、源代码、依赖项以及生成二进制文件的环境。由于证明文件遵循固定的模式,因此工具可以自动验证它们。
对于开发者而言,这意味着您可以验证构建是否来自预期来源。 pipeline 并且未被不受信任的系统修改。此外,认证有助于及早发现篡改行为,因为可疑的更改会直接反映在来源信息中。
5. Xygeni 如何帮助您达到 SLSA v1.2 的要求
Xygeni 提供 完成 build security 层 这与以下情况非常吻合: slsa框架无需依赖人工审查,即可对代码、依赖项和持续集成进行持续检查。 pipelines.
出处和认证验证
Xygeni验证来源文件,验证 SLSA认证 构建元数据的内容和检查与预期来源匹配。
构建脚本监控
Xygeni 监控构建脚本,以检测内部未经授权的更改、不安全的命令或可疑行为。 pipelines.
依赖性验证
Xygeni 会检查依赖项的完整性、版本历史记录和信任级别,以降低软件包被篡改的风险。
工件完整性
Xygeni 会扫描工件是否被篡改,并确保它们与预期的构建输出相符。
Pipeline Security
Xygeni 验证了 CI 和 CD pipeline遵循一致且安全的构建模式。
SBOM 以及供应链映射
Xygeni 生成并分析 SBOM这有助于团队满足 SLSA provenance 以及下游审计要求。
因此,团队可以在不减慢开发速度,也不用拼凑多个工具的情况下达到 SLSA v1.2 的预期目标。
6. 关于 SLSA v1.2 更新的最后思考
软件制品供应链层级 v1.2 为软件供应链带来了更高的清晰度和更强的保障。此外,开发人员现在可以更轻松地了解溯源信息、验证构建完整性并实施一致的控制措施。 pipeline此外,该规范也更容易被采纳,而且 SLSA认证 它在证明软件的创建过程方面发挥着核心作用。正因如此,团队可以对其交付的成果建立更强的信任。
使用 Xygeni,您可以应用 slsa框架 在您现有的 SDLC此外,您还可以自动验证源代码来源,持续检查依赖项,并保护您的构建免受攻击。因此,您可以在不减慢开发速度的情况下加强供应链。
