Chainloop es una plataforma para cadena de suministros de seguridad de código abierto que ayuda a los equipos de seguridad a hacer cumplir sus políticas y a la vez permite a los equipos de desarrollo su fácil integración con los pipelines de CI/CD. Consiste en un plano de control que actúa como única fuente de verdad para las políticas de seguridad, y una interfaz de comandos (CLI) que ejecuta certificaciones dentro de los flujos de trabajo de CI/CD para asegurar el cumplimiento. Los equipos de seguridad definen contratos de flujos de trabajo especificando qué artefactos — como los SBOMs o los reportes de vulnerabilidades — deben ser recogidos, dónde almacenarlos y como evaluar el cumplimiento de las políticas. Chainloop usa Rego, la política de lenguaje OPA's, para validar certificaciones — por ejemplo, asegurando un estándar CycloneDX SBOM que cumpla con los requisitos de versión. Durante la ejecución del flujo de trabajo, artefactos de seguridad como SBOMs son adjuntados a una certificación y subidos al plano de control para su aplicación y auditoría. Esta estrategia asegura el cumplimiento de las políticas y puede ser impuesta de manera consistente y a escala a la vez que minimiza la fricción en los flujos de desarrollo. El resultado es un SLSA de nivel tres de conformidad de fuente de verdad única para metadatos, artefactos y certificaciones.
