Technology Radar
Published : Apr 02, 2025
NOT ON THE CURRENT EDITION
This blip is not on the current edition of the Radar. If it was on one of the last few editions, it is likely that it is still relevant. If the blip is older, it might no longer be relevant and our assessment might be different today. Unfortunately, we simply don't have the bandwidth to continuously review blips from previous editions of the Radar.
Understand more
Apr 2025
Assess
Chainloop 是一个开源的软件供应链安全平台,帮助安全团队强制执行合规性要求,同时允许开发团队将安全合规无缝集成到 CI/CD 流水线中。它包括一个控制平面(Control Plane),作为安全策略的单一事实来源,以及一个 CLI,用于在 CI/CD 工作流 中运行声明(attestations)以确保合规性。安全团队可以定义 工作流契约(Workflow Contracts),明确需要收集哪些工件(如 SBOM 和漏洞报告)、存储位置以及如何评估合规性。Chainloop 使用 OPA 的策略语言 Rego 验证声明,例如确保 CycloneDX 格式的 SBOM 符合版本要求。在工作流执行过程中,安全工件(如 SBOM)会附加到声明中,并推送到控制平面进行强制执行和审计。此方法确保可以一致且大规模地实施合规性,同时最大限度地减少开发工作流中的摩擦。最终,它实现了一个符合 SLSA 三级标准的单一事实来源,用于元数据、工件和声明的管理。
