CNCF社区首个!KubeEdge达到软件供应链SLSA L3等级
💡
原文中文,约5700字,阅读约需14分钟。
📝
内容提要
KubeEdge项目于2023年1月18日发布的v1.13.0版本中,通过集成SLSA官方的GitHub构建项目slsa-github-generator,实现了端到端的从源码构建到发布流程的安全加固,保障用户获取到的二进制或容器镜像产物不被恶意篡改,达到CNCF社区首个达到SLSA L3等级的项目。SLSA GitHub generator通过OpenID Connect (OIDC)向外部服务(Sigstore)证明工作流的身份,获得sigstore社区2022年度徽章Best User Adopter。KubeEdge项目通过集成SLSA官方GitHub构建项目slsa-github-generator,实现了端到端的安全加固,保障用户获取的产物不被恶意篡改,达到SLSA L3等级,获得sigstore社区2022年度徽章。
🎯
关键要点
- KubeEdge项目在2023年1月18日发布的v1.13.0版本中达到SLSA L3等级,成为CNCF社区首个达到该等级的项目。
- SLSA框架提供端到端的安全加固,保障用户获取的二进制或容器镜像不被恶意篡改。
- KubeEdge社区于2022年完成第三方安全审计,并发布了安全威胁分析和防护白皮书。
- SLSA(软件构件的供应链级别)是Google提出的框架,用于保证软件供应链的完整性。
- SLSA评估分为四个等级,KubeEdge在所有维度中均达到L3等级。
- KubeEdge通过GitHub Actions自动化构建流程,确保构建过程的可回溯性和安全性。
- Provenance是构建的元数据,记录构建过程和依赖关系,确保其真实性和完整性。
- KubeEdge集成了slsa-github-generator以满足SLSA L3等级的要求。
- 使用OpenID Connect (OIDC) 向Sigstore证明工作流身份,确保构建过程的安全性。
- SLSA GitHub generator获得sigstore社区2022年度徽章Best User Adopter。
➡️
