SLSA lleva año y medio en su versión 1.0 y el ecosistema ha tenido tiempo de adoptarlo. Repaso de lo que funciona, lo que sigue costando y por dónde tiene sentido empezar.
Leer másSLSA v1.0: un marco maduro para la cadena de suministro
Etiqueta: supply chain
Chainguard Images: imágenes mínimas y firmadas
Chainguard construye imágenes Docker con cero CVEs, SBOMs firmados y sin bloatware. Cuándo compensan frente a imagenes oficiales.
Leer másSigstore en registros de imágenes: adopción y realidad
Un año tras la explosión de Sigstore, los registros OCI integran firmas nativas. Cómo los grandes registros lo adoptan y qué funciona en producción.
Leer másDevSecOps práctico con Sigstore y cosign
Firmar imágenes y artefactos con Sigstore dejó de ser exótico. Cómo integrar cosign en un pipeline real sin convertir la firma en un ritual vacío.
Leer másSLSA nivel 3: endureciendo la cadena de suministro software
SLSA v1.0 define cuatro niveles de madurez en cadena de suministro. El L3 es alcanzable y justifica la inversión para muchos equipos.
Leer másAtaques a la cadena de suministro: lecciones de 2023
Incidentes como MOVEit, 3CX y PyPI muestran patrones claros en ataques a la cadena de suministro. Cómo reducir riesgo en 2023.
Leer más