Seite 3: Mehr Sicherheit am Anfang der Supply Chain

Inhaltsverzeichnis

Git-Commit-Signaturen sichern das erste Glied in der Software Supply Chain ab. Teams können das Signieren mit SSH-Key einfach einrichten. Die Sichtbarkeit der Verantwortlichen auf GitHub und GitLab erhöht die Security. Wie viel Aufwand es ist, jeden Commit mit Signaturen zu versehen und diese zu validieren, um eine deutlich höhere Sicherheitsstufe zu erreichen, hängt von den eingesetzten Tools und Workflows im Team ab.

Wer Codereviews nutzt, kann die Pipeline anpassen. Wer viele Automatisierungstools und Bots wie Renovate verwendet, muss die Konfigurationen anpassen, damit die Bots ebenfalls gültige Signaturen erstellen. Teams müssen evaluieren, wie groß der Gesamtaufwand ist, und den Sicherheitsgewinn in Abhängigkeit zu den Projektanforderungen abwägen.

Janosch Deurer
ist Gründer und CEO der IT Consulting Firma corewire GmbH. Als DevOps- und Cloud-Consultant mit Spezialisierung auf Kubernetes, AWS und CI/CD-Pipelines liegt ihm am Herzen, Deployment- und Infrastruktur-Lösungen zu finden, die sich nahtlos in die Arbeitsabläufe der Teams integrieren lassen. Er blickt dabei gerne über den DevOps-Tellerrand hinaus und sorgt dafür, dass Veränderungen in der gesamten Firma auf Zustimmung stoßen. Zusätzlich engagiert er sich aktiv in der DevOps-Community mit der Veranstaltung des DevOps Meetup Freiburg.

(rme)