janfuhrer/podsalsa

GitHub: janfuhrer/podsalsa

一个符合 SLSA Build Level 3 规范的 Go 示例应用，展示如何通过 GitHub Actions 安全地构建和发布软件并生成可验证的供应链来源信息。

Stars: 6 | Forks: 2

# PodSalsa [![license](https://img.shields.io/github/license/janfuhrer/podsalsa)](https://github.com/janfuhrer/podsalsa/blob/main/LICENSE) [![OpenSSF Scorecard](https://api.securityscorecards.dev/projects/github.com/janfuhrer/podsalsa/badge)](https://securityscorecards.dev/viewer/?uri=github.com/janfuhrer/podsalsa) [![OpenSSF Best Practices](https://www.bestpractices.dev/projects/8791/badge?&kill_cache=1)](https://www.bestpractices.dev/projects/8791) [![release](https://img.shields.io/github/v/release/janfuhrer/podsalsa)](https://github.com/janfuhrer/podsalsa/releases) [![go-version](https://img.shields.io/github/go-mod/go-version/janfuhrer/podsalsa)](https://github.com/janfuhrer/podsalsa/blob/main/go.mod) [![Go Report Card](https://goreportcard.com/badge/github.com/janfuhrer/podsalsa)](https://goreportcard.com/report/github.com/janfuhrer/podsalsa) [![FOSSA Status](https://app.fossa.com/api/projects/custom%2B44203%2Fgithub.com%2Fjanfuhrer%2Fpodsalsa.svg?type=shield&issueType=license)](https://app.fossa.com/projects/custom%2B44203%2Fgithub.com%2Fjanfuhrer%2Fpodsalsa?ref=badge_shield&issueType=license) [![FOSSA Status](https://app.fossa.com/api/projects/custom%2B44203%2Fgithub.com%2Fjanfuhrer%2Fpodsalsa.svg?type=shield&issueType=security)](https://app.fossa.com/projects/custom%2B44203%2Fgithub.com%2Fjanfuhrer%2Fpodsalsa?ref=badge_shield&issueType=security) [![SLSA 3](https://slsa.dev/images/gh-badge-level3.svg)](https://slsa.dev)

PodSalsa

PodSalsa 是一个简单的 Web 应用程序，仅显示有关应用程序发行版本、Git 提交和构建日期的信息。该项目的目标是提供一个示例，展示如何在 GitHub 上使用 GitHub Actions 以安全的方式构建和发布 Go 应用程序。重点在于提供有关 GitHub Actions 最佳实践、代码扫描工作流、漏洞扫描以及发布安全软件技术的总结/文档，以提升软件供应链的安全性。该项目可以作为对供应链安全、artifact 来源和验证感兴趣的开发者的起点。 ## 发行版本应用程序的每个发行版本都包含 Go 二进制归档文件、校验和文件、SBOM 和容器镜像。发布工作流使用 [SLSA 标准](https://slsa.dev)为其构建创建来源，并符合 [Level 3 规范](https://slsa.dev/spec/v1.2/build-track-basics#build-l3)。每个 artifact 都可以使用 `slsa-verifier` 或 `cosign` 工具进行验证。 | Artifact | 描述 | 验证 | | ------------------ | -------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------- | | Go-binary archives | 多架构和平台的 Go 二进制归档文件 | [SLSA-Provenance](./SECURITY.md#verify-provenance-of-release-artifacts) | | Checksums file | Go 二进制归档文件的校验和文件 | [Cosign signature](./SECURITY.md#verify-signature-of-checksum-file) | | SBOMs | Go 二进制归档文件的 SBOM | [SLSA-Provenance](./SECURITY.md#go-binary-archives) | | Container images | 多架构的容器镜像 | [SLSA-Provenance](./SECURITY.md#verify-provenance-of-container-images) & [Cosign Signature](./SECURITY.md#verify-signature-of-container-image) | | SBOMs | 容器镜像的 SBOM | [SLSA-Provenance](./SECURITY.md#container-images) | ## 文档 ## 使用场景你可以将该项目作为参考，在 GitHub 上安全地构建和发布具有 SLSA Build Level 3 provenance 的 Go 应用程序。欢迎 fork 本仓库并根据你的需求进行调整，或者在你的项目中使用这些工作流和安全最佳实践。

标签：EVTX分析, Go, LLM防护, Ruby工具, 日志审计, 最佳实践, 示例项目, 请求拦截