SLSA

O projeto SUSE® Rancher Prime Cluster API usa Git para gerenciamento de código-fonte.

Todos os mantenedores do SUSE® Rancher Prime Cluster API são obrigados a ter a autenticação de dois fatores habilitada, para assinar e aprovar todas as suas contribuições.

O projeto SUSE® Rancher Prime Cluster API usa GitHub Actions e GitHub Runners para construir todos os seus artefatos de lançamento.

O processo de build e lançamento ocorre em isolamento em um ambiente efêmero fornecido por runners hospedados no GitHub.

O processo de build e lançamento é definido em código e é mantido sob controle de versão.

Os workflows do GitHub utilizam o GitHub Actions fixado em certas versões e são mantidos atualizados usando o GitHub Dependabot.

Todas as mudanças no processo de build e lançamento são feitas via Pull Requests que devem ser aprovadas por pelo menos um mantenedor do SUSE® Rancher Prime Cluster API.

O processo de lançamento só pode ser iniciado por um mantenedor do SUSE® Rancher Prime Cluster API ao enviar uma tag Git no formato semver.

O projeto SUSE® Rancher Prime Cluster API utiliza o projeto oficial SLSA GitHub Generator para geração e distribuição de proveniência.

A proveniência dos artefatos de lançamento publicados no GitHub Container Registry e no Rancher Prime Registry é gerada usando o Workflow generator_container_slsa3 do GitHub fornecido pelo projeto SLSA GitHub Generator.

A proveniência identifica as imagens de contêiner SUSE® Rancher Prime Cluster API usando seu digest no formato SHA-256.

A proveniência é assinada pelo Sigstore Cosign usando a identidade OIDC do GitHub, e a chave pública para verificar a proveniência é armazenada no log de transparência público Rekor transparency log.

O processo de lançamento e a geração de proveniência são executados em isolamento em um ambiente efêmero fornecido pelos runners hospedados no GitHub.

A proveniência das imagens de contêiner SUSE® Rancher Prime Cluster API pode ser verificada usando a ferramenta oficial SLSA verifier tool.

Os workflows de geração de proveniência são executados em máquinas virtuais efêmeras e isoladas, que são totalmente gerenciadas pelo GitHub.

Os segredos de assinatura da proveniência são efêmeros e são gerados através do procedimento de assinatura keyless do Sigstore.

O SLSA GitHub Generator é executado em máquinas virtuais separadas do processo de build e lançamento, para que os scripts de build SUSE® Rancher Prime Cluster API não tenham acesso aos segredos de assinatura.

O processo de lançamento e a geração de proveniência são executados em isolamento em um ambiente efêmero fornecido pelos runners hospedados no GitHub.

A geração de proveniência é desacoplada do processo de build; o SLSA GitHub Generator é executado em máquinas virtuais separadas totalmente gerenciadas pelo GitHub.

O processo de lançamento não pode acessar a chave de assinatura da proveniência porque o gerador de proveniência é executado em isolamento em runners separados hospedados no GitHub.