Тег: Supply chain
Все статьи с тегом "Supply chain".
-
SLSA Level 2: что такое build provenance и зачем он не SBOM
SLSA Level 2 на практике: чем build provenance отличается от SBOM, почему L2 — реалистичная цель, как GitLab Runner сам генерирует непереподделываемый attestation и как проверить его через glab/cosign и на admission.
-
Подписываем образы без ключей: Sigstore и cosign в CI
Keyless-подпись контейнерных образов через Sigstore: cosign, Fulcio и Rekor подписывают артефакт по OIDC-идентичности CI без долгоживущих ключей. Разбираем поток, ловушки и минимальный GitLab CI пайплайн с проверкой на admission.