4 Min Serie: supply-chain
SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte
Wie CycloneDX, SPDX, cosign, Fulcio und Rekor zusammen belegen, wer eine Binary gebaut hat und woraus. Einordnung von SLSA, in-toto und dem Cyber Resilience Act.
#sbom#sigstore#supply-chain#slsa#cra#security