🏗️ Phase 3: Build
Der Build-Prozess entscheidet über Vertrauen. Hier entstehen die Artefakte, die später deployed werden. DevSecOps sorgt dafür, dass alles was aus der CI kommt nachvollziehbar, sicher und überprüfbar ist.
🏗️ Was passiert in dieser Phase?
- SBOMs werden automatisch erzeugt und versioniert
- Abhängigkeiten werden mit SCA-Tools gescannt
- Artefakte werden signiert (z. B. mit Cosign, Sigstore)
- Builds sind deterministisch und reproducible
🛠 Tools & Praktiken
- SBOM: Syft, CycloneDX CLI, Trivy
- SCA: OWASP Dependency-Check, Snyk, Grype
- Signing: Cosign, Sigstore, GPG
- Immutable Tags, Commit SHAs, Pipeline-ID Verlinkung
📌 Empfehlung
Der Build sollte vollständig nachvollziehbar, reproduzierbar und signiert sein. Baue Vertrauenskette und Audit-Pflicht direkt in die Pipeline ein.