构建产物溯源与SLSA证明治理(Attestation-来源-签名)最佳实践
以 SLSA 证明记录构建来源、材料与产物摘要,并进行签名校验与时间窗口治理,提升发布可追溯性。
签名
代码生成器与模板来源治理(白名单-哈希-签名)最佳实践
对代码生成器与模板来源进行白名单与哈希签名校验,阻断不可信模板与篡改内容进入代码仓库。
Webhook安全与签名验证最佳实践
"以HMAC签名、时间戳容差与重放防护为核心,配合请求规范化与来源校验,构建可验证且稳健的Webhook安全接入方案。"
Webhook 设计与签名重试治理(2025)
Webhook 设计与签名重试治理(2025)Webhook 作为事件投递通道,需要在安全与可靠性上工程治理。一、签名与安全HMAC 签名:对消息体与时间戳进行签名与校验。回调白名单:限制目标地址与证书校验。二、重试与幂等重试策略:退避与最大次数与死信队列。幂等:以事件 ID 或 Idempoten
常量时间比较与签名验真(Timing/ConstantTime)最佳实践
通过常量时间比较函数与统一的HMAC签名验证流程,降低侧信道时序攻击风险并保障签名验真的稳健性。
SBOM生成与验证治理(SPDX-CycloneDX-签名)最佳实践
以 SPDX 或 CycloneDX 生成并签名 SBOM,绑定构建产物与组件哈希,保障可追溯与完整性校验。
Webhooks 安全:HMAC 签名验证与幂等处理
"通过 HMAC-SHA256 验证与 Idempotency-Key 幂等策略,保障 Webhooks 安全与可重复处理。"
容器镜像签名与验证(Sigstore/Cosign-政策门禁)最佳实践
通过统一的镜像签名、透明日志校验与政策门禁,在CI/CD与集群准入层阻断未授权镜像并保障可追溯的可重复部署。
依赖签名策略与密钥轮换治理(多算法-阈值)最佳实践
采用多算法与阈值签名策略并实施密钥轮换,校验时间窗口与kid白名单,保障制品签名可信与可持续。
JWT 安全实践:算法选择、kid 注入与签名校验
"总结 JWT 在生产中的常见风险与最佳实践,包括禁用 alg=none、稳健的签名算法选择、kid/JWK 处理与签名严格校验。"
