CD 安全与供应链治理（2025）

GitHub Actions CI/CD 安全与供应链治理（2025）CI/CD 是供应链关键环节，需在身份、权限与工件上实施治理。一、身份与权限OIDC 联邦：以 OIDC 对接云平台临时凭证，避免长期密钥。最小权限：按作业与环境最小化权限范围与时长。二、工件与签名SBOM：生成组件清单与漏洞治理。签名与验证：对产物签名并在部署准入校验。三、合规与审计SLSA 等级：提升构建链可追溯与防篡改能力。审计：记录变更与发布窗口日志与审批。注意事项关键词、分类与描述与正文一致；策略与机制为通用可验证。与 GitOps 与准入策略联动形成闭环。