Cloud Native Computing Foundation
·
使用SignServer、EJBCA和Chainloop的软件供应链合规性与安全政策
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
软件供应链涉及开发过程中的各个步骤,元数据对决策至关重要。Chainloop与Keyfactor合作,整合签名和证书管理,提供远程和本地签名解决方案,确保元数据的可信性和安全性。这些集成将帮助组织有效管理和验证软件供应链中的元数据,提升安全合规性。
🎯
关键要点
- 软件供应链是编写、测试、打包和分发软件的步骤,元数据在此过程中至关重要。
- 软件材料清单(SBOM)是供应链元数据的典型示例,其他示例包括QA测试报告、CVE扫描等。
- 公司开始依赖元数据做出关键决策,如应用程序是否可以部署到银行系统。
- 不可信的元数据是无用的,甚至有害的。
- Chainloop与Keyfactor合作,整合了Chainloop的元数据存储平台与Keyfactor的企业PKI解决方案。
- 推出了两种集成:使用Keyfactor的SignServer进行远程签名和使用EJBCA进行本地签名。
- Chainloop是一个开源证据存储,用于软件供应链证明、SBOM、VEX等。
- 远程签名允许用户将证明负载发送到SignServer进行签名,然后存储在Chainloop中。
- EJBCA作为证书颁发机构,支持生成短期签名证书,简化了身份验证过程。
- 集成后,生成和签名的证明保护了元数据的完整性,确保可以进行审计和政策决策。
- 结合Chainloop、EJBCA和SignServer为PKI提供基础,支持自动合规和安全性。
➡️
