Supply Chain Security - Ein Leitfaden
Nach Solarwinds, Equifax und XZ sollte es endlich in euren Köpfen angekommen sein: Supply Chain Security ist ein Thema, das uns alle angeht. Für den Rest gibt es dann noch den EU Cyber Resilience Act. Aber wie soll man da rangehen? Was kann man in seinen eigenen Projekten tun, um die Sicherheit aller zu erhöhen und gleichzeitig die Anforderungen der EU zu erfüllen? Mein Plan ist es, euch anhand eines Praxisbeispiels einen vergleichsweise einfachen Workflow näher zu bringen, mit dem ihr:
- Eure Commits absichert
- Ein Artefakt signiert und veröffentlicht
- Einen Container signiert und veröffentlicht
- Ein Binary signiert und veröffentlicht
- Ein SBOM für euere Projekt erzeugt und bereitstellt
Die dabei verwendeten Technologien:
- Sigstore
- CycloneDX SBOM
- Yubikey
- GitActions
Das Demo-Projekt wird in Java implementiert. Die gezeigten Vorgehensweisen lassen sich leicht auf andere Ökosystemen adaptieren, da viele der eingesetzten Tools sprachunabhängig sind.
Anmeldung:
Eine Veranstaltung des iJUG e.V., organisiert durch die JUG Ostfalen.