Protect your software supply chain with Tekton and Sigstore

Abstract

In questo talk vedrai esempi pratici di come proteggere la tua catena di produzione del software attraverso strumenti open source come Tekton e Sigstore e l’adozione delle specifiche SLSA (Supply-chain Levels for Software Artifacts) della Open Source Security Foundation.
Imparerai come certificare il software in modo conforme alle suddette specifiche utilizzando Tekton Chains, esplorerai diversi metodi di firma digitale, tra cui il keyless signing di Sigstore Fulcio, e come usare il transparency log di Sigstore Rekor.
Infine vedrai come verificare la conformità del software in fase di deployment.