SLSA 软件供应链等级实施:从 L1 到 L3 的工程化路径
·1394 字·7 分钟
一份 SLSA v1.0 框架的实战落地笔记:讲清楚 Build Track 从 L1 到 L3 的具体要求、用 GitHub Actions 官方 generator 和 Tekton Chains 生成 provenance、用 slsa-verifier 和 Kyverno 做验证、以及和前面 Sigstore/Kyverno/Cosign 的整合。
SLSA
供应链安全:Trivy 镜像扫描 + Cosign 签名验证实践
·727 字·4 分钟
你的镜像安全吗?本文梳理容器供应链的主要攻击面,手把手演示 Trivy 扫描、Cosign 签名、K8s 准入控制三层防护的搭建过程,并给出 GitLab CI 集成示例。