đ ImplĂ©mentation dâune stratĂ©gie de signature GPG + vĂ©rification supply-chain multi-plateforme #94
Description
Labels: security, ci/cd, release, backlog
đŻ Objectif
Mettre en place une stratégie de signature cryptographique des artifacts de release (Windows / Linux / macOS) afin de :
- Garantir lâintĂ©gritĂ© des binaires publiĂ©s
- Permettre la vérification indépendante par les utilisateurs
- Réduire le risque supply-chain (compromission CI / altération des assets GitHub)
- Standardiser la procédure de release sécurisée
Build rĂ©alisĂ© sur GitLab local â publication sur GitHub Releases.
đŠ PĂ©rimĂštre
Artifacts concernés (Tauri) :
- NSIS (.exe)
- DEB (.deb)
- RPM (.rpm)
- DMG (.dmg)
𧱠Architecture cible
1ïžâŁ Build sĂ©curisĂ©
- Compilation sur GitLab local (runner contrÎlé)
- Build taggé (ex:
app-v3.10.8)
2ïžâŁ GĂ©nĂ©ration des checksums
sha256sum * > SHA256SUMS
3ïžâŁ Signature GPG dĂ©tachĂ©e
gpg --armor --detach-sign SHA256SUMS
Artifacts publiés :
- binaires
- SHA256SUMS
- SHA256SUMS.asc
đ VĂ©rification cĂŽtĂ© utilisateur
gpg --verify SHA256SUMS.asc SHA256SUMS
sha256sum -c SHA256SUMS
đ SĂ©curitĂ© clĂ© GPG
à définir :
- GĂ©nĂ©ration dâune clĂ© dĂ©diĂ©e âSonar Release Signingâ
- Publication de la clé publique dans le repository
- Stockage sécurisé de la clé privée (runner GitLab / machine offline / smartcard ?)
- Protection variable CI (masked + protected)
đ AmĂ©liorations futures (optionnel)
- Signature des tags Git (
git tag -s) - Génération SBOM (CycloneDX)
- Signature SBOM
- Fichier provenance.json signé
- Ătude Sigstore / cosign
đ TĂąches
- Générer clé GPG dédiée
- Ajouter Ă©tape signature dans pipeline GitLab
- Ajouter publication automatique vers GitHub Releases
- Documenter procédure de vérification dans README
- Documenter procédure de rotation de clé
đĄ Motivation
SONAR est open-source et distribué publiquement.
Lâobjectif est dâapporter une garantie cryptographique forte sur les releases, indĂ©pendamment de la confiance dans GitHub.