SLSA 软件供应链等级实施:从 L1 到 L3 的工程化路径
·1394 字·7 分钟
一份 SLSA v1.0 框架的实战落地笔记:讲清楚 Build Track 从 L1 到 L3 的具体要求、用 GitHub Actions 官方 generator 和 Tekton Chains 生成 provenance、用 slsa-verifier 和 Kyverno 做验证、以及和前面 Sigstore/Kyverno/Cosign 的整合。
DevSecOps
Sigstore/Cosign 镜像签名实战:从 keyless 签名到准入策略验证
·1658 字·8 分钟
一份 Sigstore 生产化落地笔记:讲清楚 Fulcio/Rekor/Cosign 三件套的工作原理,演示 GitHub Actions 和 GitLab CI 下的 keyless 签名流水线,对接 Kyverno/Policy Controller 做准入验证,并分享签名验证性能、Rekor 不可用降级、多签策略等真实运维经验。
DevSecOps 安全左移实践:从代码到生产的全链路安全
·1864 字·9 分钟
安全不是最后一道关卡,而是嵌入每个研发环节的连续过程。本文从代码静态分析、依赖漏洞扫描、镜像安全、K8s 运行时防护到供应链签名,逐层拆解 DevSecOps 的完整实施路径,并给出一个可落地的流水线设计。