拉取策略供应链治理(2025)
SLSA/SBOM 与镜像签名/拉取策略供应链治理(2025)一、标准与产物SLSA:定义构建级别与来源证明;保证产物可信。SBOM:生成组件清单与许可证;用于审计与漏洞扫描(SBOM)。二、签名与验证镜像签名:使用 `Cosign` 对镜像进行签名与验签(镜像签名)。拉取策略:在集群/仓库设置仅允
供应链
CD 安全与供应链治理(2025)
GitHub Actions CI/CD 安全与供应链治理(2025)CI/CD 是供应链关键环节,需在身份、权限与工件上实施治理。一、身份与权限OIDC 联邦:以 OIDC 对接云平台临时凭证,避免长期密钥。最小权限:按作业与环境最小化权限范围与时长。二、工件与签名SBOM:生成组件清单与漏洞治理
Secret Scanning 与供应链合规治理(2025)
Secret Scanning 与供应链合规治理(2025)一、扫描与规则Secret Scanning:对版本库与产物进行密钥扫描。规则:正则/指纹/上下文匹配,降低误报。二、准入与阻断准入策略:在 CI/CD 与部署阶段阻断高风险。SBOM:生成组件清单,用于漏洞治理与合规审计。三、审计与修复审
供应链事件响应与撤销公告治理(advisory-广播-回滚)最佳实践
在供应链事件发生时发布撤销公告并广播到相关项目,触发冻结与回滚流程,记录审计以便追溯。
OCI容器镜像供应链治理(SBOM-签名-拉取策略)最佳实践
通过镜像签名与 SBOM 绑定、拉取策略与来源白名单,保障镜像供应链的可追溯与完整性。
Subresource Integrity 静态资源签名校验:SRI、CSP 与供应链风险治理
使用 Subresource Integrity 为外部与本域静态资源提供完整性校验,结合 CSP 与版本治理降低供应链风险,并给出经验证的拦截率与失败占比指标。
CI/CD供应链安全:SBOM、Sigstore与SLSA落地
在交付流水线中引入 SBOM、签名与溯源,基于 Sigstore 与 SLSA 框架构建可验证的供应链安全体系。
SBOM(CycloneDX 与 SPDX)生成与依赖风险治理实践
在前端项目中生成并验证 CycloneDX 与 SPDX SBOM,集成到 CI 以评估依赖风险、记录发布资产的组成与来源,实现可追溯的供应链治理。
