Secure Software Supply Chain Guide
Secure Software Supply Chain Guide
SBOM otomasyonu, imza zincirleri ve politika temelli yayınlama
Kurumsal ortamlarda paket zincirinin tek bir halkası bile kontrol dışına çıktığında tüm dağıtım hattı risk üretir. SBOM üretimi, imzalı artefakt dağıtımı ve yayın politikaları aynı platformda buluşmalıdır. Bu yol haritası Security platform lideri profiline yönelik hazırlanmış olup Sigstore, Cosign, in-toto, Harbor araçlarıyla uygulanabilir.
SBOM ile Başlayan Görünürlük
Her derleme sonrası SBOM dosyasını OCI artifact olarak yayınlayan ekipler bağımlılık riskini anlık takip eder.
- SBOM farklarını PR yorumu olarak bırakmak
- SBOM dosyalarını merkezi registry’de saklamak
- Ürün ekiplerine bağımlılık yaş haritaları vermek
İmza Zincirleri ve Politikalar
Cosign yalnızca imza basmaz; politika motorlarına veri taşır ve zincir kırıldığında yayın reddedilmelidir.
- Stage başına farklı anahtar çifti kullanmak
- İmzaları sürüm boyunca doğrulamak
- Policy-as-code ile imza kurallarını kodlaştırmak
Geliştirici Deneyimi ile Güvenlik Dengesi
IDE uyarıları, PR botları ve üretim politikaları aynı dili konuşursa davranış değişikliği kalıcı olur.
- IDE için bağımlılık risk eklentisi yayınlamak
- PR yorumlarına otomatik risk bağlamı eklemek
- İhmal edilen aksiyonları OKR metriğine bağlamak
Başarı Metrikleri
- İmzasız artefakt: %0 — Üç sprint sonunda tüm image’lar imzalı hale geldi.
- SBOM güncellik: <3 saat — Yeni bağımlılık sonrası alarm üretme süresi.
- Politika ihlali: -%62 — Bloklanan yayın sayısı ilk ay sonunda düştü.
Kod Örneği — Cosign doğrulaması yapan GitHub Actions adımı
- name: Verify signed image
run: |
COSIGN_EXPERIMENTAL=1 cosign verify \
--key \${{ secrets.COSIGN_PUB_KEY }} \
ghcr.io/org/app:\${{ github.sha }}
Uygulama Kontrol Listesi
- SBOM üretimini build aşamasına zorunlu kıl.
- Cosign anahtarlarını KMS üzerinde sakla.
- Policy kurallarını versiyon kontrolüne al.
- CI loglarını imza zinciriyle ilişkilendir.
- Takım başına supply chain eğitimi düzenle.
Anahtar odaklar: supply chain security, sbom, artifact signing.
Yorumlar (0)
Yorum Yaz
Henüz yorum yapılmamış. İlk yorumu sen yap!