DevSecOps · Supply chain
Preserva evidenza verificabile per release, SBOM e provenance
I team software devono dimostrare sempre più spesso quali artefatti sono stati rilasciati, quali SBOM erano disponibili, quali vulnerability scan sono stati eseguiti e quali dichiarazioni di provenance erano associate a una release. Le pipeline CI/CD producono questi materiali, ma raramente in forma verificabile a distanza di mesi o anni.
Per chi è pensato
- Software vendor
- Product security team
- DevSecOps engineers
- Piattaforme SaaS
- Team compliance software
- Organizzazioni soggette a requisiti di cybersecurity sul ciclo di vita del prodotto
Input tipici
- Release binary e container image
- SBOM (CycloneDX, SPDX)
- SLSA provenance
- Vulnerability report
- Build manifest
- Changelog
- Release notes
- Security attestation
- CI/CD output (build log, signed digest)
Output CertiSigma
- Release evidence bundle
- Hash degli artifact
- Attestazioni T0 / T1 / T2
- Evidenza SBOM datata
- Evidenza provenance datata
- Evidenza scan report datata
- Manifest di release
- Verifica pubblica o offline via SDK
Complemento alla software supply chain
CertiSigma aggiunge un layer di evidenza indipendente attorno agli artefatti software e ai documenti che li descrivono. Non sostituisce signing (Sigstore, GPG), repository (OCI, Maven, npm), CI/CD o framework come SLSA: li completa, fornendo un'attestazione esterna datata su digest e manifest.
Non dichiara da solo che una release è sicura. Aiuta a dimostrare quali artefatti, manifest e report erano disponibili in una determinata forma verificabile, in un momento specifico, anche in assenza dei sistemi originali.
Cosa CertiSigma NON prova qui
- Che una release sia priva di vulnerabilità o di malicious code
- Che l'SBOM sia esaustivo o accurato
- Che la provenance dichiarata corrisponda alla pipeline che ha effettivamente prodotto il binario
- Che il signer dell'artifact sia stato autorizzato a firmare
- Che il codice sorgente non sia stato manomesso prima dell'attestazione del digest