Lieferketten Badge
In Planung
Die Lieferketten Badge bewertet die Transparenz und Nachvollziehbarkeit der Software-Lieferkette eines Projekts nach (SLSA-Standards). Sie gibt Auskunft darüber, wie gut dokumentiert und abgesichert der Weg vom Quellcode bis zum fertigen Artefakt ist. Die Badge umfasst Aspekte wie Projektdokumentation, Build-Provenance und kryptografisch signierte Attestierungen.
Die Badge basiert auf den folgenden Kriterien:
Level 1: Bronze
- Changelog vorhanden: Prüft, ob eine Changelog-Datei im Stammverzeichnis existiert für Transparenz über Projektänderungen und Versionsnachverfolgung
- Contribution Guidelines vorhanden: Prüft, ob eine Contribution Guideline-Datei existiert für klare Beitragsrichtlinien und transparente Entwicklungsprozesse
- Container Attestation Bronze: Prüft, ob Container-Images eine SBOM-Attestierung besitzen für vollständige Transparenz über enthaltene Komponenten
Level 2: Silber
- Alle Kriterien aus Level 1
- Container Attestation Silver: Prüft, ob Container-Images eine VEX-Attestierung besitzen für Bewertung der Ausnutzbarkeit bekannter Schwachstellen
Level 3: Gold
- Alle Kriterien der Level 1 und 2
- Container Attestation Gold: Prüft, ob Container-Images Build/Source Provenance und SARIF-Attestierungen besitzen für vollständige Nachvollziehbarkeit der Lieferkette