见证(Witness)：您的软件供应链安全守护者

见证（Witness）是一个插件化的框架，专为保障软件供应链安全而设计。它记录了从源代码到目标的整个软件开发生命周期的证据链，确保您软件的完整性，并防止未经授权的修改或恶意活动。通过支持多种主流CI和基础设施提供商， Witness提供了一种灵活且强大的解决方案，以适应不断变化的安全需求。

项目介绍

Witness的核心功能是围绕持续集成过程中的命令进行封装，创建软件SDLC的详细记录，用于检查政策合规性和识别潜在篡改行为。它利用安全的PKI分发系统增强安全性，有效防御软件供应链攻击。其强大的特性包括：

• 实现了in-toto规范，包括ITE-5、ITE-6和ITE-7，以及内嵌的rego策略引擎（与Open Policy Agent兼容），用于构建策略执行。
• 支持无密钥签名，如Sigstore和SPIFFE/SPIRE，并将证明数据上传到Archivista服务器。
• 提供RFC3161兼容的时间戳权威机构。
• 实验性支持进程追踪和进程篡改防护功能。
• 可在Darwin、Windows和ARM架构上运行，并可以使用Archivista作为证明存储库。
• 包含GitLab、GitHub、AWS和GCP等主要平台的集成。

技术分析

见证采用现代加密技术和分布式系统理论，创建了一个可扩展且安全的证据收集机制。其使用插件化架构，允许根据具体环境和安全要求轻松定制。此外， Witness依赖于PKI进行身份验证和授权，增强了对供应链的控制和可见性。该系统的灵活性和可配置性使其成为应对复杂供应链安全挑战的理想工具。

应用场景

• 企业内部CI/CD流程：见证可以帮助大型组织确保其内部构建过程的安全，确保只有经过验证的步骤被执行，防止内部或外部威胁。
• 开源软件项目：开源项目可以利用见证来建立可审计的证据链，增加用户对代码完整性的信任。
• 云服务供应商：云服务商可以集成见证，为客户提供额外的供应链安全保障层。
• 跨领域协作：在涉及多个团队或部门的大型项目中，见证有助于保持一致的流程和透明度。

项目特点

1. 插件化设计：见证支持多种插件，可以根据不同CI和基础设施需求进行定制。
2. 全生命周期记录：覆盖从源代码到发布的每个阶段，提供完整且可验证的证据链。
3. 多平台支持：跨平台兼容，可在不同的操作系统和硬件架构上运行。
4. PKI安全：基于PKI的认证和授权，强化安全边界。
5. 高级策略支持：结合Open Policy Agent，实现复杂的策略检查和执行。
6. 全面的安全集成：与Sigstore、SPIFFE/SPIRE和Archivista等安全工具无缝对接。

无论你是个人开发者、企业团队还是开源项目维护者，见证都能提供强大而易用的工具，帮助你确保软件供应链的安全。立即尝试并加入我们的社区，共同打造更安全的软件世界！