securing-the-supply-chain-a-practical-guide-to-slsa-compliance-from-build-to-runtime-dun-chi-daepai-chan-zha-slsamao-zhi-enguerrand-allamel-ledger.pdf

《securing-the-supply-chain-a-practical-guide-to-slsa-compliance-from-build-to-runtime-dun-chi-daepai-chan-zha-slsamao-zhi-enguerrand-allamel-ledger.pdf》由会员分享，可在线阅读，更多相关《securing-the-supply-chain-a-practical-guide-to-slsa-compliance-from-build-to-runtime-dun-chi-daepai-chan-zha-slsamao-zhi-enguerrand-allamel-ledger.pdf（30页珍藏版）》请在三个皮匠报告上搜索。

1、经济增安全从构建到运时的 SLSA 合规性实指南2024年821 安格罗（Enguerrand Allamel），Ledger关于我安格罗(Enguerrand Allamel)-学术经历：曾在清华学学习年-本职位：Ledger 的级云安全程师-公司概述：Ledger 尖端于安全钱包硬件和尖端安全产品-当前关注：通过加强户保护来增强供应链安全议程1.为什么供应链安全重要？2.什么是 SLSA（软件件供应链级别）？3.供应链安全防御的可能程碑4.示例实现1.在构建端2.在途5.硬件安全模块（HSM）的深探讨供应链案例Git 仓库Github 动作誤解的功效Kubernetes+应程序发布架構拉取

2、可疑镜像预览最新消息攻击者获得静态的访问权限供应链安全为什么重要？“德纳预测到 2025 年，将有 45%的组织经历过软件供应链攻击”*攻击类型案例研究向源Git仓库提交未授权的更改SushiSwap：具有存储库访问权限的承包商推送了恶意提交，将加密货币重定向到身 超过 300 万美元的户资受到影响破坏构建过程SolarWinds：攻击者侵了构建平台并安装了植物，该植物会在每次构建过程中注恶意为 规模数据泄露 约有 18,000 个组织受到影响 SolarWinds 股价下跌 40%*来源：Gartner 报告什么是SLSA？-SLSA：软件件的安全级别-持：由 OpenSSF（开源安全基会）

3、赞助，与 Linux 基会相关-协作框架：通过跨业协作开发-的：制定保护软件供应链的标准和指南-核组件：-SLSA 要求-SLSA 出处（类似于证明）-受众：针对软件产商、消费者和基础设施提供商站：https:/slsa.dev/Github 存储库：https:/ SLSA 中的威胁和攻击范围：来源例：-Git 存储库内的代码修改-Git 存储库托管平台（例如 GitLab、GitHub、Gitea）上的权限绕过基于 SLSA 档的图表SLSA 中的威胁和攻击范围：构建例：-CI/CD 或构建平台受损-软件包注册表被盗基于 SLSA 档的图表SLSA 中的威胁和攻击范围：依赖项例：-在 Py

4、PI.org、 等平台上托管的依赖项中软件包的域名抢注。-依赖项中嵌的恶意代码基于 SLSA 档的图表供应链安全防御的可能程碑：SLSA标复杂度等级要求重点默认情况下构建 L0（没有任何）（不适）简单的构建 L1出处展示了软件包是如何构建的错误、档简单中等构建 L2由托管构建平台成的签名出处构建后篡改难的构建 L3强化的构建平台构建期间的篡改安全级别定义链接 SLSA 构建线程1.0 版中的 SLSA 框架仅为构建威胁/轨迹定义级别。表格基于 https:/slsa.dev/spec/v1.0/levels供应链安全防御的程碑命令实践示例重点0：默认（没有任何）（不适）1：次测试本地第个件/证

5、明签名，对 Kubernetes 集群上的镜像使情况进初步监控，审核当前 OSS 的使/分发测试防御机制和具2：初始防御实施在 CI/CD 管道内构建（本地），在构建平台内签名件/证明，在运时构建 SBOM建供应链安全防御的基础层级3：级防御强化构建平台、OSS 注册代理、重建 OSS 件、带有 CA 签名密钥的 HSM、专有密钥件签名等。实施纵深防御并防范级情况供应链安全防御的可能程碑示例实现：上下对于这种情况，我们假设以下设置：-应程序在 Kubernetes 上运-构建平台是 Github Action-使开源（OSS）依赖项-开源（OSS）应程序被构建并部署到公共注册中Git 存储库G

6、ithub 动作OSS 依赖註冊KubernetesOSS 注册中建造发布拉发布拉建设：可能的防御-如何确保在 Kubernetes 上部署的软件是在 GitHub Actions 内构建的？-签名：使 Cosign、Notary 等具。-Provenance：实现 SLSA Provenance、In-Toto 证明等。Git 存储库Github 动作腐败註冊KubernetesOSS 注册中建造发布拉发布攻击者应程序恶意发布构建：Sigstore-Sigstore：软件供应链安全的开源项-持：由 OpenSSF（开源安全基会）赞助-的：提供种简单、安全的软件签名法-座右铭：“签名、验证、保