L'étape Release, provenance & signature de la chaîne logicielle regroupe 4 vecteurs d'attaque, ancrés dans SLSA (F) · CNCF Trust & Signing. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.
Vol de clé de signature
Falsification de provenance
Provenance valide sur artefact malveillant
Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.
Vecteurs d'attaque
Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.
V-REL-1Vol de clé de signature
La clé privée de signature des artefacts est volée (stockage en clair, longue durée, hors HSM), permettant de signer des livrables malveillants présentés comme authentiques. La signature, censée prouver l'authenticité, est retournée contre les consommateurs.
V-REL-2Falsification de provenance
L'attestation de provenance est forgée ou altérée pour faire croire qu'un artefact provient d'un build légitime. Sans provenance non falsifiable (build isolé, signature), la traçabilité est trompeuse.
V-REL-3Provenance valide sur artefact malveillant
Le build est compromis en amont, si bien que la provenance est techniquement valide mais atteste d'un artefact malveillant. La provenance prouve l'origine, pas l'innocuité : un build corrompu produit une attestation correcte d'un mauvais résultat.
V-REL-4Absence de vérification
Le consommateur n'utilise ni la signature ni la provenance avant de consommer un artefact, annulant tout le bénéfice de leur génération. La chaîne de confiance ne tient que si le dernier maillon vérifie.