Cloud Native Computing Foundation
·
为开源项目保障CI/CD安全:控制谁运行什么
💡
原文英文,约1500词,阅读约需6分钟。
📝
内容提要
过去一年,开源供应链面临安全挑战,特别是npm和PyPI的攻击。Cilium项目采取措施加强供应链安全,包括限制构建触发、分离可信与不可信代码、使用CODEOWNERS进行审查等。未来将继续改进依赖管理和凭证隔离。
🎯
关键要点
-
过去一年,开源供应链面临安全挑战,包括npm和PyPI的攻击。
-
Cilium项目采取措施加强供应链安全,包括限制构建触发和分离可信与不可信代码。
-
使用CODEOWNERS进行审查,确保CI配置的更改经过安全团队的审核。
-
Cilium实施了两阶段检出,确保只有可信代码被执行。
-
所有发布的镜像和Helm图表都使用Sigstore Cosign进行签名,附带SBOM证明。
-
未来将继续改进依赖管理和凭证隔离,解决现存的安全漏洞。
❓
延伸问答
Cilium项目如何加强开源供应链的安全性?
Cilium项目通过限制构建触发、分离可信与不可信代码、使用CODEOWNERS进行审查等措施来加强安全性。
什么是CODEOWNERS,它在Cilium项目中有什么作用?
CODEOWNERS是一个文件,用于指定哪些团队负责审查特定目录下的更改。在Cilium项目中,CI配置的更改需要经过安全团队的审核。
Cilium项目如何处理不可信代码的构建?
Cilium项目通过两阶段检出机制来处理不可信代码,确保只有来自可信源的代码被执行。
Cilium项目在CI/CD中如何控制谁可以触发构建?
Cilium项目使用Ariane,一个GitHub机器人,限制只有经过验证的组织成员才能触发CI工作流。
Cilium项目如何确保发布的镜像和Helm图表的安全性?
所有发布的镜像和Helm图表都使用Sigstore Cosign进行签名,并附带SBOM证明,以确保其安全性。
Cilium项目未来有哪些安全改进计划?
Cilium项目计划继续改进依赖管理和凭证隔离,以解决现存的安全漏洞。
➡️
