Bit-for-Bit: Unser Weg zur sicheren Container-Lieferkette

Supply-Chain-Angriffe wie die Kompromittierung von Trivy und Axios zeigen: Sicherheit muss tiefer ansetzen als oberflächliche Überprüfungen wie die Suche nach bekannten Schwachstellen allein.

Dieser Vortrag beschreibt, wie wir für unser OSS Projekt DevGuard, die Container-Pipeline auf Basis von Nix Reproducible Builds und einer dualen, plattformübergreifenden Digest-Verifikation neu aufgebaut haben. Durch zwei vollständig unabhängige Build-Umgebungen (GitHub Actions & openCode) wird jedes Release kryptographisch verifizierbar – ohne dass der Nutzer diese selbst aktiv prüfen muss. Die Architektur erfüllt SLSA Build L3.

Vorkenntnisse

Grundlegendes Verständnis von CI/CD-Pipelines und Container-Images (OCI/Docker) wird vorausgesetzt. Kenntnisse über Supply-Chain-Sicherheit und Signaturverfahren sind hilfreich, aber nicht zwingend erforderlich. Erfahrung mit Nix oder SLSA ist nicht notwendig – beide Konzepte werden im Vortrag eingeführt.

Lernziele

Die Teilnehmenden verstehen, wie Reproducible Builds mittels NixOS funktionieren und warum sie stärkere Integritätsgarantien bieten als reine Signaturen oder Build-Provenance-Statements. Ebenfalls gewinnen sie einen Überblick über das SLSA-Framework bis Build L3 als Anforderungskatalog für vertrauenswürdige Build-Pipelines, mit Fokus auf OCI-Artefakten.