Cilium CI/CD 供应链安全实践
推荐指数 56.0 NO. 026 · 2026.06.13
发布2026/06/12
为什么值得看
Cilium 团队分享了其开源项目 CI/CD 管道中锁定依赖项的安全加固方案,这是三篇系列文章的第二篇。对于运行关键基础设施开源项目的团队,这是可直接复现的供应链攻击防护模板。
编辑判断
Cilium 的做法比大多数项目更激进:不仅用 checksum 锁定依赖,还强制要求所有构建产物通过 Sigstore 签名验证,这意味着即使镜像仓库被入侵,恶意构建也无法通过准入。目前主流方案如 SLSA 框架多停留在 Level 2-3,Cilium 这套配置接近 Level 4 的完整可复现构建。
如果你维护的是被下游广泛依赖的基础设施工具(如 Kubernetes 周边项目),建议直接 fork 他们的 GitHub Actions 配置,比从零搭建节省数周工作量。Part 3 预计会覆盖密钥管理和签名轮换,值得持续关注。