メインコンテンツまでスキップ

アーキテクチャ

カタログのすべてのイメージは、同じ一本のパイプラインを通って作られ、公開されます。

ビルドパイプラインの概要は、固定した入力に紐づく Nix の式から、密閉ビルド、テスト、署名と attestation の付与を経て公開に至る流れを説明します。 既知脆弱性への対応は、既知の脆弱性が消える3つの経路(上流リリースへの追従、パッケージ単位のパッチ、VEX による表明)を説明します。 上流のマルウェア検知は、各パッケージの上流ソースを継続的に監視して、悪意ある変更の兆候を探す仕組みを説明します。 上流のゼロデイ修正検知は、同じ監視の仕組みで、公表前に静かに取り込まれた脆弱性修正の兆候を追う仕組みを説明します。

ビルドパイプラインと既知脆弱性パッチの適用は、SBOM や VEX、provenance を通じて利用者側で検証できる形の証跡を残します。