چرا منشأ زنجیره تأمین نرمافزار در حال تبدیل شدن به الزام پیشفرض Build است
امنیت زنجیره تأمین نرمافزار زمانی موضوعی تخصصی برای تیمهای امنیت بود، اما حالا با پیچیدهتر شدن CI/CD، وابستگیها و آرتیفکتها، مسئله منشأ Build به قلب ابزارهای توسعه آمده است.
منشأ یا provenance یعنی شواهد امضاشدهای که نشان میدهد یک آرتیفکت چگونه، از کدام commit، با چه workflow و در چه محیطی ساخته شده است. این داده در کنار SBOM و code signing شکاف اعتماد را کمتر میکند.
اهمیت اصلی این رویکرد در این است که حملهها اغلب به فاصله بین توسعه و استقرار ضربه میزنند. اگر نتوان ثابت کرد یک باینری واقعاً از مسیر مورد انتظار ساخته شده، اتوماسیون انتشار به نقطه ضعف تبدیل میشود.
به همین دلیل provenance بهتدریج از یک گزینه امنیتی به الزام پیشفرض build مدرن تبدیل میشود.