SLSA

Le projet SUSE® Rancher Prime Cluster API utilise Git pour la gestion du code source.

Tous les mainteneurs de SUSE® Rancher Prime Cluster API doivent avoir l’authentification à deux facteurs activée, pour signer et valider toutes leurs contributions.

Le projet SUSE® Rancher Prime Cluster API utilise GitHub Actions et GitHub Runners pour construire tous ses artefacts de version.

Le processus de construction et de publication s’exécute en isolation dans un environnement éphémère fourni par des runners hébergés par GitHub.

Le processus de construction et de publication est défini dans le code et est maintenu sous contrôle de version.

Les workflows GitHub utilisent des actions GitHub épinglées à certaines versions et sont tenues à jour grâce à GitHub Dependabot.

Tous les changements apportés au processus de construction et de publication se font via des Pull Requests qui doivent être approuvées par au moins un mainteneur de SUSE® Rancher Prime Cluster API.

Le processus de publication ne peut être déclenché que par un mainteneur de SUSE® Rancher Prime Cluster API en poussant une balise Git au format semver.

Le projet SUSE® Rancher Prime Cluster API utilise le projet officiel SLSA GitHub Generator pour la génération et la distribution de la provenance.

La provenance des artefacts de version publiés sur le registre de conteneurs GitHub et sur le registre Rancher Prime est générée à l’aide du workflow GitHub generator_container_slsa3 fourni par le projet SLSA GitHub Generator.

La provenance identifie les images de conteneur SUSE® Rancher Prime Cluster API en utilisant leur digest au format SHA-256.

La provenance est signée par Sigstore Cosign en utilisant l’identité OIDC de GitHub, et la clé publique pour vérifier la provenance est stockée dans le registre de transparence public Rekor transparency log.

Le processus de publication et la génération de la provenance s’exécutent en isolation dans un environnement éphémère fourni par des runners hébergés par GitHub.

La provenance des images de conteneur SUSE® Rancher Prime Cluster API peut être vérifiée à l’aide de l’outil officiel SLSA verifier tool.

Les workflows de génération de provenance s’exécutent sur des machines virtuelles éphémères et isolées, entièrement gérées par GitHub.

Les secrets de signature de la provenance sont éphémères et sont générés par la procédure de signature keyless de Sigstore.

Le SLSA GitHub Generator s’exécute sur des machines virtuelles séparées de celles du processus de construction et de publication, de sorte que les scripts de construction SUSE® Rancher Prime Cluster API n’ont pas accès aux secrets de signature.

Le processus de publication et la génération de la provenance s’exécutent en isolation dans un environnement éphémère fourni par des runners hébergés par GitHub.

La génération de la provenance est découplée du processus de construction ; le SLSA GitHub Generator s’exécute sur des machines virtuelles séparées entièrement gérées par GitHub.

Le processus de publication ne peut pas accéder à la clé de signature de la provenance car le générateur de provenance s’exécute en isolation sur des runners hébergés par GitHub.