SLSA v1.0: un marco maduro para la cadena de suministro
SLSA lleva año y medio en su versión 1.0 y el ecosistema ha tenido tiempo de adoptarlo. Repaso de lo que funciona, lo que sigue costando y por dónde tiene sentido empezar.
Etiqueta
sigstore
Chainguard Images: imágenes mínimas y firmadas
Chainguard construye imágenes Docker con cero CVEs conocidos, SBOMs firmados y sin bloatware. Cuándo compensan frente a imágenes oficiales.
Sigstore en registros de imágenes: adopción y realidad
Dos años después de irrumpir, Sigstore se ha consolidado como estándar de firma para artefactos OCI. Repaso del estado real en los grandes registros y de lo que funciona en producción.
DevSecOps practico con Sigstore y cosign
Firmar imágenes y artefactos con Sigstore dejó de ser exótico. Cómo integrar cosign en un pipeline real sin convertir la firma en un ritual vacío.
SLSA nivel 3: endureciendo la cadena de suministro software
SLSA v1.0 define cuatro niveles de madurez en cadena de suministro. El L3 es alcanzable y justifica la inversión para muchos equipos.
Ataques a la cadena de suministro: lecciones de 2023
Incidentes como MOVEit, 3CX y PyPI muestran patrones claros en ataques a la cadena de suministro. Cómo reducir riesgo en 2023.