Gemeinsam. Digital. Souverän.
Software Supply Chain Transparenz
SBOMs und VeX-Attestierungen für alle unsere Softwareassets – transparent, nachvollziehbar, absicherbar.
Software Bill of Materials (SBOM)
Vollständige Transparenz über alle Komponenten unserer Software.
Vollständigkeit
Jede Abhängigkeit – direkt und transitiv – wird erfasst.
Aktualität
SBOMs werden bei jeder Änderung der Abhängigkeiten aktualisiert.
CycloneDX
Wir verwenden das CycloneDX-Format als interoperables SBOM-Format.
Vulnerability Exploitability eXchange (VeX)
VeX-Dokumente kommunizieren die Ausnutzbarkeit von Schwachstellen.
Zweck
VeX ergänzt die SBOM um Informationen zur Ausnutzbarkeit einzelner Schwachstellen.
Format
VeX-Dokumente werden im CycloneDX-Format erstellt und neben der SBOM gepflegt.
Status
VeX-Dokumente bewerten betroffene Komponenten auf Basis verfügbarer Schwachstellendaten.
OCI Images
Wir liefern unsere Software als OCI-konforme Container Images aus.
Container
Alle unsere Software wird als OCI-konforme Container Images ausgeliefert.
Attestierung
Jedes Image wird mit SBOM und VeX-Attestierung bereitgestellt.
Signatur
Images werden kryptographisch signiert – SLSA Level 3 Compliance.
Beispiel
Eine attestierte SBOM im CycloneDX-Format – strukturiert als in-toto Statement.
OCI Image
debian:13-minimalMulti-arch (amd64, arm64)
Attestations
cosign download attestation ...VeX + SLSA Provenance (pro Architektur)
Image abrufen
crane pull registry.opencode.de/open-code/oci/debian:13-minimal debian.img
Digest ermitteln
crane digest registry.opencode.de/open-code/oci/debian:13-minimal
Attestation abrufen
cosign download attestation \ registry.opencode.de/open-code/oci/debian:13-minimal@sha256:3649219...62030
CycloneDX extrahieren
jq -r 'select(.payloadType == "application/vnd.in-toto+json") | .payload | @base64d' attestations.json
in-toto Envelope (gekürzt)
{
"payloadType": "application/vnd.in-toto+json",
"payload": "eyJfdHlwZSI6Imh0dHBzOi8vaW4tdG90by5pby9TdGF0ZW1lbnQvdjAuMSIsInByZWRpY2F0ZVR5cGUiOiJodHRwczovL2N5Y2xvbmVkYi94L3N1cmUvYm9tIi4uLg==",
"signatures": [{ "keyid": "...", "sig": "..." }]
}CycloneDX SBOM (decodierter payload, gekürzt)
{
"_type": "https://in-toto.io/Statement/v0.1",
"predicateType": "https://cyclonedx.org/bom",
"subject": [{
"name": "debian:13-minimal",
"digest": { "sha256": "3649219…62030" }
}],
"predicate": {
"bomFormat": "CycloneDX",
"specVersion": "1.5",
"version": 1,
"components": [
{
"bom-ref": "pkg:oci/debian",
"type": "container",
"name": "debian",
"purl": "pkg:oci/debian?repository_url=opencode.de/debian&tag=13-minimal",
"version": "13"
},
{
"bom-ref": "pkg:deb/debian/acl@2.3.1",
"type": "application",
"name": "acl",
"purl": "pkg:deb/debian/acl@2.3.1",
"version": "2.3.1-3",
"licenses": [{ "license": { "id": "GPL-2.0-or-later" } }]
},
{
"bom-ref": "pkg:deb/debian/apt@2.6.1",
"type": "application",
"name": "apt",
"purl": "pkg:deb/debian/apt@2.6.1",
"version": "2.6.1",
"licenses": [{ "license": { "id": "BSD-3-Clause" } }]
}
],
"dependencies": [
{ "ref": "pkg:oci/debian", "dependsOn": ["pkg:deb/debian/acl", "pkg:deb/debian/apt"] },
{ "ref": "pkg:deb/debian/acl", "dependsOn": [] },
{ "ref": "pkg:deb/debian/apt", "dependsOn": ["pkg:deb/debian/acl"] }
]
}
}Kontakt
Für Fragen zu unserer Software Supply Chain.