slsa archivos

SLSA v1.0: un marco maduro para la cadena de suministro

diciembre 31, 2024 javi

Cadenas metálicas entrelazadas sobre fondo oscuro como metáfora de la cadena de suministro de software

SLSA lleva año y medio en su versión 1.0 y el ecosistema ha tenido tiempo de adoptarlo. Repaso de lo que funciona, lo que sigue costando y por dónde tiene sentido empezar.

DevSecOps práctico con Sigstore y cosign

diciembre 28, 2023 javi

Candado metálico sobre teclado representando firma digital y seguridad en el pipeline

Firmar imágenes y artefactos con Sigstore dejó de ser exótico. Cómo integrar cosign en un pipeline real sin convertir la firma en un ritual vacío.

SLSA nivel 3: endureciendo la cadena de suministro software

septiembre 23, 2023 javi

Cadena digital representando integridad de software

SLSA v1.0 define cuatro niveles de madurez en cadena de suministro. El L3 es alcanzable y justifica la inversión para muchos equipos.

Ataques a la cadena de suministro: lecciones de 2023

septiembre 5, 2023 javi

Cadena representando eslabones de software y dependencias

Incidentes como MOVEit, 3CX y PyPI muestran patrones claros en ataques a la cadena de suministro. Cómo reducir riesgo en 2023.