Zurück

Bit-for-Bit: Unser Weg zur sicheren Container-Lieferkette

Supply-Chain-Angriffe wie die Kompromittierung von Trivy und Axios zeigen: Sicherheit muss tiefer ansetzen als oberflächliche Überprüfungen wie die Suche nach bekannten Schwachstellen allein.

Dieser Vortrag beschreibt, wie wir für unser OSS Projekt DevGuard, die Container-Pipeline auf Basis von Nix Reproducible Builds und einer dualen, plattformübergreifenden Digest-Verifikation neu aufgebaut haben. Durch zwei vollständig unabhängige Build-Umgebungen (GitHub Actions & openCode) wird jedes Release kryptographisch verifizierbar – ohne dass der Nutzer diese selbst aktiv prüfen muss. Die Architektur erfüllt SLSA Build L3.

Vorkenntnisse

Grundlegendes Verständnis von CI/CD-Pipelines und Container-Images (OCI/Docker) wird vorausgesetzt. Kenntnisse über Supply-Chain-Sicherheit und Signaturverfahren sind hilfreich, aber nicht zwingend erforderlich. Erfahrung mit Nix oder SLSA ist nicht notwendig – beide Konzepte werden im Vortrag eingeführt.

Lernziele

Die Teilnehmenden verstehen, wie Reproducible Builds mittels NixOS funktionieren und warum sie stärkere Integritätsgarantien bieten als reine Signaturen oder Build-Provenance-Statements. Ebenfalls gewinnen sie einen Überblick über das SLSA-Framework bis Build L3 als Anforderungskatalog für vertrauenswürdige Build-Pipelines, mit Fokus auf OCI-Artefakten.

Speaker

Tim Bastin hat hat die Leidenschaft, aus jeder Zeile Code das Beste herauszuholen. Mit L3montree Cybersecurity verfolge er das Ziel, IT-Sicherheit mit einem pragmatischen Ansatz für Unternehmen umsetzbar und effektiv zu gestalten. Tim ist ein großer Fan von Open Source und trägt als Maintainer aktiv zur Community bei, um die Softwarelandschaft sicherer zu machen!