Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

SLSA

Descripción general

SLSA es un conjunto de directrices adoptables de forma incremental para la seguridad del sistema de suministro, establecidas por consenso de la industria. La especificación establecida por SLSA es útil tanto para los productores como para los consumidores de software: los productores pueden seguir las directrices de SLSA para hacer su sistema de suministro de software más seguro, y los consumidores pueden utilizar SLSA para tomar decisiones sobre si confiar en un paquete de software.

SUSE® Rancher Prime Cluster API cumple con los requisitos de SLSA Nivel 3.

Requisito Requerido en SLSA L3 Cumplido por SUSE® Rancher Prime Cluster API

Elige una plataforma de construcción adecuada

Sigue un proceso de construcción consistente

Distribuye la procedencia

Plataforma de Construcción

  • El proyecto SUSE® Rancher Prime Cluster API utiliza Git para la gestión del código fuente.

  • Todos los mantenedores de SUSE® Rancher Prime Cluster API deben tener habilitada la autenticación de dos factores, para firmar y aprobar todas sus contribuciones.

  • El proyecto SUSE® Rancher Prime Cluster API utiliza GitHub Actions y GitHub Runners para construir todos sus artefactos de lanzamiento.

  • El proceso de construcción y lanzamiento se ejecuta en aislamiento en un entorno efímero proporcionado por los runners alojados en GitHub.

Proceso de Construcción

  • El proceso de construcción y lanzamiento está definido en código y se mantiene bajo control de versiones.

  • Los Workflows de GitHub utilizan GitHub Actions fijadas a ciertas versiones y se mantienen actualizadas utilizando GitHub Dependabot.

  • Todos los cambios en el proceso de construcción y lanzamiento se realizan a través de Pull Requests que deben ser aprobadas por al menos un mantenedor de SUSE® Rancher Prime Cluster API.

  • El proceso de lanzamiento solo puede ser iniciado por un mantenedor de SUSE® Rancher Prime Cluster API al empujar una etiqueta Git en el formato semver.

Procedencia

  • El proyecto SUSE® Rancher Prime Cluster API utiliza el proyecto oficial SLSA GitHub Generator para la generación y distribución de la procedencia.

  • La procedencia de los artefactos de lanzamiento publicados en el Registro de Contenedores de GitHub y en el Registro de Rancher Prime se genera utilizando el flujo de trabajo generator_container_slsa3 de GitHub proporcionado por el proyecto SLSA GitHub Generator.

  • La procedencia identifica las imágenes de contenedor SUSE® Rancher Prime Cluster API utilizando su digest en formato SHA-256.

  • La procedencia está firmada por Sigstore Cosign utilizando la identidad OIDC de GitHub, y la clave pública para verificar la procedencia se almacena en el registro de transparencia público Rekor transparency log.

  • El proceso de lanzamiento y la generación de la procedencia se ejecutan de forma aislada en un entorno efímero proporcionado por los runners alojados en GitHub.

  • La procedencia de las imágenes de contenedor SUSE® Rancher Prime Cluster API se puede verificar utilizando la herramienta oficial SLSA verifier tool.

  • Los flujos de trabajo de generación de procedencia se ejecutan en máquinas virtuales efímeras y aisladas, que son completamente gestionadas por GitHub.

  • Los secretos de firma de la procedencia son efímeros y se generan a través del procedimiento de firma keyless de Sigstore.

  • El SLSA GitHub Generator se ejecuta en máquinas virtuales separadas del proceso de construcción y lanzamiento, de modo que los scripts de construcción SUSE® Rancher Prime Cluster API no tengan acceso a los secretos de firma.

Aislamiento

  • El proceso de lanzamiento y la generación de la procedencia se ejecutan de forma aislada en un entorno efímero proporcionado por los runners alojados en GitHub.

  • La generación de procedencia está desacoplada del proceso de construcción; el SLSA GitHub Generator se ejecuta en máquinas virtuales separadas completamente gestionadas por GitHub.

  • El proceso de lanzamiento no puede acceder a la clave de firma de la procedencia porque el generador de procedencia se ejecuta en aislamiento en runners separados alojados en GitHub.