srujantata/supply-chain-security-pipeline
GitHub: srujantata/supply-chain-security-pipeline
一个基于GitHub Actions的端到端供应链安全管道,集成了SBOM生成、漏洞扫描、镜像签名和溯源证明。
Stars: 0 | Forks: 0
# 供应链安全管道
## 功能概述
一个在 GitHub Actions 中实现的端到端软件供应链安全管道。它使用 Syft 生成软件物料清单(SBOM),使用 Cosign 对 Sigstore 的 Rekor 透明日志进行容器镜像签名,强制执行 SLSA Level 2 溯源证明,并在镜像进入生产环境前使用 Grype 扫描漏洞。
## 管道阶段
1. **构建** — Docker buildx,多平台构建
2. **SBOM** — Syft 生成 CycloneDX JSON 格式的软件物料清单
3. **扫描** — Grype 根据 CVE 数据库检查软件物料清单
4. **签名** — 通过 GitHub OIDC → Sigstore 的 Cosign 无密钥签名
5. **证明** — SLSA 溯源证明存储在 Rekor 中
6. **门控** — 策略:发现严重 CVE 时阻断构建
## 内容说明
- `.github/workflows/supply-chain.yml` — 完整管道配置
- `policy/` — 用于 CVE 严重性门控的 OPA 策略
- `verify.sh` — 验证任意镜像的签名及溯源证明
- `sbom/` — 软件物料示例输出(CycloneDX JSON)
- 用于部署时 Cosign 验证的准入控制器配置
## 验证镜像
```
# 验证签名
cosign verify ghcr.io/srujantata/app:latest \
--certificate-identity-regexp 'https://github.com/srujantata' \
--certificate-oidc-issuer 'https://token.actions.githubusercontent.com'
# 验证 SLSA 来源
cosign verify-attestation --type slsaprovenance ghcr.io/srujantata/app:latest
```
## 展示技能
`Syft` · `Cosign` · `Sigstore` · `SLSA` · `Grype` · `Rekor` · `GitHub Actions`
标签:Angular, CI/CD安全, Cosign, DevSecOps, Docker, GitHub Actions, GPT, Grype, Llama, Rekor, SBOM生成, Sigstore, SLSA, Syft, Web截图, 上游代理, 供应链攻击防护, 安全合规, 安全门控, 安全防御评估, 容器安全, 容器镜像安全, 密码学签名, 开源安全工具, 无密钥签名, 漏洞管理, 网络代理, 自动化安全扫描, 自动笔记, 证明生成, 跌倒检测, 软件供应链安全, 软件物料清单, 远程方法调用, 逆向工程平台, 透明度日志, 部署安全