Êtes-vous sûr que le code déployé en production est bien celui que vous pensez être ? Provient-il de votre CI/CD, d'un laptop d'un développeur ou pire, n'aurait-il pas été injecté par un attaquant ? Comment assurez-vous l'intégrité et la traçabilité de vos artefacts ?
Nous allons voir dans ce talk comment répondre à ces questions en utilisant SLSA.
Introduit et open sourcé par Google, SLSA est un cadre de sécurité qui renforce l'intégrité de votre chaîne de production logicielle ou Software Supply Chain. Son principe : améliorer par paliers successifs la protection du code source, sa construction et la distribution des artefacts.
Nous parlerons également de Sigstore, le Let's Encrypt de la signature du code, il nous permettra d’implémenter SLSA en rendant transparente la signature et l’attestation des artefacts.
Et pour faire la part belle à la pratique, nous verrons ensemble comment vérifier l'authenticité d'un container lors du déploiement dans Kubernetes grâce au moteur de règle Kyverno.