签名管道在您的软件供应链中建立信任

信任不是给予的，而是赢得的。正如俄罗斯谚语所说，Доверяй， но провер р——或者正如美国总统罗纳德·里根喜欢重复的那样，“信任，但要核实”。

我们设计了JFrog管道安全地支持大量的团队、应用程序、用户和数以千计的管道。最新版本为管线带来了业界第一的验证功能，可以保护二进制文件的真实性，实现无忧的发布和更新，以满足最苛刻的企业的需求。

你的SDLC暴露了许多漏洞

通过DevOps自动化加速发布依赖于信任构建产品的能力。但是您的软件交付生命周期(SDLC)可能暴露出许多弱点。如果您正在推广一个构建，或者部署到生产环境，您如何知道您正在推广或部署的工件是否合法?管道运行期望部署的工件版本总是有可能被某人或另一个管道覆盖。更糟糕的是，如果黑客通过篡改二进制文件获得访问权限并破坏代码的真实性，该怎么办?

根据IBM赞助的一份研究报告，平均数据泄露造成的损失为380万美元在2020年。我们都听说过高调的攻击(Equifax, Solarwinds，现在是Colonial Pipeline)，已知的攻击数量有数百个。的SolarWinds违反把焦点放在如何软件供应链本身就是一个主要的攻击载体。恶意攻击者将攻击目标“左移”，极大地增加了攻击的爆炸半径。在SDLC期间防止安全漏洞现在是软件最终用户的期望。

最近的殖民管道网络攻击为我们与网络攻击者的战斗提供了一个新战线的例子。不同类型的攻击向量以及目标IT设备的数量和类型的组合为不良行为者提供了一个可以在其中操作的大量攻击面。

确保你的文物的真实性

签署了管道通过构建一个加密签名的日志来验证管道生成的每个工件的真实性，从而在通过SDLC进行的二进制文件中创建信任。有了这个受保护的记录，开发人员和操作人员可以确保由管道创建的构建不包含被其他流程或操作重写的受损工件。

更多元数据:PipeInfo

元数据是通过JFrog平台成功实现DevOps的关键原则。Artifactory的BuildInfo元数据提供了您所生成的所有构建的可跟踪性。

有签名的管道记录了一组额外的元数据，称为PipeInfo，它将管道生成的每个工件连接到创建它的步骤和运行。这个全面的PipeInfo元数据，可作为JSON文件读取，提供了详细的、可验证的软件材料清单(SBOM)的每个构建，使您能够审核您的整个软件交付供应链。

PipeInfo收集在Artifactory存储库中，并标识生成每个工件的管道、作为每个管道的一部分使用的所有不同步骤，包括它们的输入、输出和配置、触发管道的git提交等等。您可以通过编程方式或通过UI可视化地访问这些信息。

收集到的元数据在管道执行时进行加密签名，并与管道生成的工件相关联。管道可以检测真实性，并在软件通过SDLC和块推广、发布包创建或无法验证真实性的部署过程中确保软件的不可变性。

跟踪构建到步骤

使用PipeInfo, Artifactory中的每一个构建都可以追溯到管道步骤——因此可以追溯到生成它的运行命令。这可以在UI中看到，通过一个新的管道页中的工件的浏览器Artifactory。

从构建的这个视图中，您可以单击以显示完整的PipeInfo，或者在Pipelines中查看步骤的运行日志。

在swapamp上赶上行业第一的公告

签名管道是我们在会上宣布的几个业界首创的功能之一swampUp DevOps会议使二进制生命周期管理在规模。的新闻稿这简短的摘要都是了解总体情况的好方法。

这些创新都有助于JFrog平台差异这只能从一组本地集成的服务中获得，这些服务一起工作以实现全面的DevOps和安全性。

信任需要验证。”你在每次会议上都重复这句话，”苏联总理戈尔巴乔夫回应道。我们也会提醒你的。