Chainloop é uma plataforma de segurança de cadeia de suprimentos de código aberto que ajuda equipes de segurança a impor conformidade, enquanto permite que equipes de desenvolvimento integrem a conformidade de segurança de forma tranquila nos pipelines CI/CD. Ela consiste em um plano de controle, que atua como fonte única de verdade para políticas de segurança, e uma CLI, que executa atestados nos fluxos de trabalho de CI/CD para garantir a conformidade. Os times de segurança definem contratos de fluxo de trabalho especificando quais artefatos — como os SBOMs e relatórios de vulnerabilidade — devem ser coletados, onde guardá-los e como avaliar a conformidade. A Chainloop usa as linguagens de política Rego, OPA's para validar atestados — por exemplo, garantir que um CycloneDX SBOM atenda aos requerimentos de versão. Durante a execução do fluxo de trabalho, artefatos de segurança como SBOMs são anexados a um atestado e enviados ao plano de controle para aplicação e auditoria. Essa abordagem garante que a conformidade possa ser aplicada de forma consistente e em escala, minimizando o atrito nos fluxos de trabalho de desenvolvimento. Isso resulta em uma fonte única de verdade em conformidade com o nível três do SLSA para metadados, artefatos e atestados.
