ソフトウェアサプライチェーンの本質
---
ざっとまとめる
アーティファクトと署名付きメタデータ
公開鍵とかデジタル署名とかいった話が出てくる
要するにSBOMなどのメタデータ自体の完全性を保証する必要がある🐰 ビルドパイプラインは独立した概念として扱うべき
冪等性と永続性の担保、ボトルネックの回避のために賢く作る必要がある
たとえばstepとworkerといった概念で説明されている🐰
別の言い方をすると「ビルドそのもの」と「ビルド環境(インフラ)」も管理せよって話
SSCの5つのステージ
ソースコード
マテリアル(依存関係)
ビルドパイプライン(専用のインフラと自動化は前提)
アーティファクト(メタデータ生成と署名も含む)
ディストリビューション(アーティファクトの配布。利用者のメタデータ検証も含む)
(deploymentって言葉使ってるからややこい)