发布于 : Apr 02, 2025
Apr 2025
评估
是一个开源的软件供应链安全平台,帮助安全团队强制执行合规性要求,同时允许开发团队将安全合规无缝集成到 CI/CD 流水线中。它包括一个控制平面(Control Plane),作为安全策略的单一事实来源,以及一个 CLI,用于在 中运行声明(补迟迟别蝉迟补迟颈辞苍蝉)以确保合规性。安全团队可以定义 ,明确需要收集哪些工件(如 SBOM 和漏洞报告)、存储位置以及如何评估合规性。Chainloop 使用 OPA 的策略语言 验证声明,例如确保 CycloneDX 格式的 SBOM 符合版本要求。在工作流执行过程中,安全工件(如 )会附加到声明中,并推送到控制平面进行强制执行和审计。此方法确保可以一致且大规模地实施合规性,同时最大限度地减少开发工作流中的摩擦。最终,它实现了一个符合 SLSA 叁级标准的单一事实来源,用于元数据、工件和声明的管理。
