SLSA

Das SUSE® Rancher Prime Cluster API-Projekt verwendet Git zur Verwaltung des Quellcodes.

Alle SUSE® Rancher Prime Cluster API-Betreuer müssen die Zwei-Faktor-Authentifizierung aktiviert haben, um alle ihre Beiträge zu signieren und zu genehmigen.

Das SUSE® Rancher Prime Cluster API-Projekt verwendet GitHub Actions und GitHub Runners zum Erstellen aller seiner Release-Artefakte.

Der Build- und Freigabeprozess läuft isoliert in einer temporären Umgebung, die von GitHub-gehosteten Runners bereitgestellt wird.

Der Build- und Freigabeprozess ist in Code definiert und wird unter Versionskontrolle gehalten.

Die GitHub-Workflows nutzen GitHub Actions, die auf bestimmte Versionen festgelegt sind, und werden mit GitHub Dependabot auf dem neuesten Stand gehalten.

Alle Änderungen am Build- und Freigabeprozess erfolgen über Pull Requests, die von mindestens einem SUSE® Rancher Prime Cluster API-Betreuer genehmigt werden müssen.

Der Freigabeprozess kann nur von einem SUSE® Rancher Prime Cluster API-Betreuer durch das Pushen eines Git-Tags im Semver-Format gestartet werden.

Das SUSE® Rancher Prime Cluster API Projekt verwendet das offizielle SLSA GitHub Generator Projekt zur Generierung und Verteilung von Provenance.

Die Provenance für die veröffentlichten Artefakte im GitHub Container Registry und im Rancher Prime Registry wird mit dem GitHub Workflow generator_container_slsa3 erstellt, der vom SLSA GitHub Generator Projekt bereitgestellt wird.

Die Provenance identifiziert die SUSE® Rancher Prime Cluster API Container-Images anhand ihres Digests im SHA-256-Format.

Die Provenance wird von Sigstore Cosign mit der GitHub OIDC-Identität signiert, und der öffentliche Schlüssel zur Überprüfung der Provenance wird im öffentlichen Rekor-Transparenzprotokoll gespeichert.

Der Freigabeprozess und die Provenance-Generierung laufen isoliert in einer temporären Umgebung, die von GitHub-gehosteten Runnern bereitgestellt wird.

Die Provenance der SUSE® Rancher Prime Cluster API Container-Images kann mit dem offiziellen SLSA Verifier-Tool überprüft werden.

Die Workflows zur Generierung der Provenance laufen auf temporären und isolierten virtuellen Maschinen, die vollständig von GitHub verwaltet werden.

Die Geheimnisse zur Signierung der Provenance sind temporär und werden durch das keyless Signierungsverfahren von Sigstore generiert.

Der SLSA GitHub Generator läuft auf separaten virtuellen Maschinen als der Build- und Freigabeprozess, sodass die SUSE® Rancher Prime Cluster API Build-Skripte keinen Zugriff auf die Signierungsgeheimnisse haben.

Der Freigabeprozess und die Provenance-Generierung laufen isoliert in einer temporären Umgebung, die von GitHub-gehosteten Runnern bereitgestellt wird.

Die Provenance-Generierung ist vom Build-Prozess entkoppelt; der SLSA GitHub Generator läuft auf separaten virtuellen Maschinen, die vollständig von GitHub verwaltet werden.

Der Freigabeprozess kann nicht auf den Schlüssel zur Signierung der Provenance zugreifen, da der Provenance-Generator isoliert auf separaten GitHub-gehosteten Runnern läuft.