ソフトウェアサプライチェーンの本質
Secure Software Factory
https://github.com/cncf/tag-security/blob/main/supply-chain-security/secure-software-factory/secure-software-factory.md
Software Supply Chain Best Practices
https://github.com/cncf/tag-security/blob/main/supply-chain-security/supply-chain-security-paper/sscsp.md
---
ざっとまとめる
アーティファクトと署名付きメタデータ
公開鍵とかデジタル署名とかいった話が出てくる
要するにSBOMなどのメタデータ自体の完全性を保証する必要がある🐰
ビルドパイプラインは独立した概念として扱うべき
冪等性と永続性の担保、ボトルネックの回避のために賢く作る必要がある
たとえばstepとworkerといった概念で説明されている🐰
別の言い方をすると「ビルドそのもの」と「ビルド環境(インフラ)」も管理せよって話
ポリシーマネジメント、アクター、Attester(第三者的証人)
SSCの5つのステージ
ソースコード
マテリアル(依存関係)
構成管理やArtifactoryはここか🐰
ビルドパイプライン(専用のインフラと自動化は前提)
アーティファクト(メタデータ生成と署名も含む)
ディストリビューション(アーティファクトの配布。利用者のメタデータ検証も含む)
(deploymentって言葉使ってるからややこい)