使用 Cloud Build 和 SLSA 保護軟體開發生命週期


雲寶寶報你知!

在軟體開發中,或多或少都會需要使用到外部軟體或產品。
軟體開發人員面臨的最大挑戰之一是需要對他們在自己的軟體系統中使用的外部軟體和產品做出明智的選擇。
評估這些外部的或由第三方的引入,是否會對系統安全性造成影響,是很有討戰性的。

這裡,介紹一下 Supply-chain Levels for Software Artifacts (SLSA) 的概念。
SLAS 對軟體開發的每一層級供應鏈,增加了額外的安全指南來解決最常見的來源和構建的完整性威脅。
SLSA 框架引入了許多用於保護軟體開發生命週期的新工具和概念: Artifact 、Provenance、Digest、Attestation、Attestor 、Immutable references 和 Build integrity。

GCP 的 Cloud Build 支援 SLSA1
在默認情況下,Cloud Build 允許您創建自動構建管道,並且任何 Cloud Build 管道都會自動生成出處。

原文連結:https://lihi1.com/LxDT1

#GCP#雲端#CloudBuild#SLSA