Атаки на цепочку поставок ПО стали одной из главных угроз в IT: компрометация зависимостей, подмена артефактов, вредоносные пакеты, утечки ключей CI/CD. Поэтому всё чаще рядом звучат три термина: SLSA, Sigstore и SBOM. Разберёмся, что это и зачем бизнесу внедрять их уже сейчас.
SLSA (Supply-chain Levels for Software Artifacts)
Это фреймворк зрелости безопасности сборки ПО. Он отвечает на вопрос: насколько можно доверять процессу создания артефакта.
- — кто и как запускает сборку;
- — защищён ли CI/CD;
- — можно ли подделать билд;
- — есть ли проверяемая provenance-метаинформация.
Практическая ценность SLSA в том, что он снижает риск незаметной подмены кода на этапе сборки и релиза.
Sigstore
Это экосистема для подписывания и проверки артефактов без сложного управления ключами. В неё входят инструменты вроде cosign, Fulcio, Rekor.
- — контейнерный образ, бинарник или пакет действительно выпущен доверенным источником;
- — подпись проверяема;
- — событие подписи зафиксировано в прозрачном журнале.
Для DevSecOps это особенно полезно в Kubernetes и контейнерных платформах: можно допускать к деплою только подписанные образы. ✅
SBOM (Software Bill of Materials)
Это “состав” программного продукта: список библиотек, зависимостей, версий, компонентов.
- — быстро понимать, где используется уязвимый пакет;
- — ускорять аудит и compliance;
- — управлять open-source рисками;
- — реагировать на CVE без ручного разбора проекта.
После громких инцидентов вроде Log4Shell именно SBOM стал критически важным инструментом для ответа на вопрос: затронут ли наш продукт? 📋
Как это работает вместе
- SBOM показывает, что внутри продукта
- Sigstore подтверждает, кто подписал артефакт и не подменён ли он
- SLSA доказывает, насколько надёжен сам процесс сборки
Вместе они дают более зрелую модель доверия к ПО, чем обычный “прошёл CI — значит безопасно”.
Что внедрять в первую очередь 🚀
- Генерацию SBOM для релизов
- Подпись контейнеров и артефактов через Sigstore/cosign
- Политику допуска в registry и Kubernetes только для верифицированных образов
- Оценку текущего пайплайна по SLSA
- Хранение provenance и автоматическую проверку в CI/CD
Итог
Supply chain security — это уже не “дополнительная защита”, а базовая гигиена разработки. Если компания не знает, из чего собрано ПО, кем подписан релиз и насколько защищён pipeline, она работает вслепую. SLSA, Sigstore и SBOM помогают сделать поставку софта прозрачной, проверяемой и устойчивой к современным атакам. 🛡️
За полезной навигацией по теме загляните в подборку каналов про IT — там много практики, новостей и инструментов для инженеров.