セキュリティ
Apothem のセキュリティ姿勢 — OpenSSF Scorecard 目標、脆弱性報告、堅牢化の表面。
Apothem のセキュリティ姿勢は、サプライチェーンの堅牢化、脆弱性対応、ブランチ保護、リリース署名、継続的セキュリティ分析という 5 つの柱に基づいています。本セクションでは各表面を記録します。
脅威モデル
Apothem は設定の物質化器です。共有プロファイルを読み取り、各ハーネス が読み取るディレクトリへ、ハーネス固有の設定ファイル を書き込みます。この単一の機能が、何を信頼し何を信頼しないかを規定します。
- Apothem が信頼するもの。 あなたが記述する共有プロファイルと、インス トーラーが配置する同梱のソースツリーです。プロファイルはあなたが宣言した 意図であり、エンジンはスキーマ検証の後にそれを権威ある入力として扱います。
- Apothem が信頼しないもの。 プロファイルの内容は検証を経てから初めて
ファイルシステムに到達します。スキーマの失敗、未知のハーネス ID、安全でない
プロジェクトパス、欠落したマニフェストソース、ターゲットのトラバーサル、
シンボリックリンクの横断はいずれも、いかなる書き込みよりも前に停止し、
files_written: []を伴う構造化された診断を返します。 - 物質化された出力が決して運ばないもの。 いかなる機密も含みません。 プロファイルの診断は、平文出力・JSON・ログ・ドキュメントの抜粋・テストに 到達する前に、機密らしきキーやトークン状の値を編集して伏せ、公開例には 架空のプレースホルダー的な身元とドメインを使用します。物質化された設定は コミットして共有されることを意図しており、認証情報を運びません。
- 普遍的な拒否の下限。 Apothem が物質化するルールは、ハーネスごとの
許可リストにかかわらず交渉の余地のない拒否の下限を備えています — 機密の
パス(
.env*、~/.ssh/**、認証情報ストア)、破壊的なシェル操作(rm -rf、sudo、保護されたブランチへの強制プッシュ)、信頼できない入力の実行です。 いかなる許可リストもこの下限を黙って広げることはありません。 - 影響範囲。 書き込みはハーネスのディレクトリと Apothem 所有のサポート サブツリーに限定されます。既存の管理対象ターゲットは置換前にバックアップ され、共有のディスカバリーディレクトリは子ごとにマージされるため、無関係な オペレーター作成のファイルはそのまま残ります。
ランタイム安全姿勢
ハーネスのライフサイクルおよびプロファイル書き込みコマンドは、書き込み前に
検証します。プロファイルのスキーマ失敗、未知のハーネス ID、安全でない
プロジェクトパス、欠落したマニフェストソース、ターゲットのトラバーサル、
シンボリックリンクの横断は、ファイルシステムへの書き込みよりも前に停止し、
files_written: [] を伴う構造化された診断を返します。
インストールおよび更新操作は、既存の管理対象ターゲットを置換前にバックアップ
することで保持します。共有のディスカバリーディレクトリは子ごとにマージされる
ため、無関係なオペレーター作成のファイルはそのまま残ります。--dry-run は
同じ検証を実行し、ディレクトリやファイルを作成せずに計画された結果を報告
します。
プロファイルの診断は、平文出力・JSON 出力・ログ・ドキュメントの抜粋・テスト に到達する前に、機密らしきキーやトークン状の値を編集して伏せます。公開例には 架空のプレースホルダー的な身元とドメインを使用します。
クイックリンク
- OpenSSF Scorecard の姿勢 — チェックごとの証拠と既知のプラットフォーム上の限界
- Webhooks 監査 — webhook シークレットの衛生に関する証拠
- ブランチ保護 — レビューゲート、ステータスチェック、プッシュ制限
- バイナリ成果物スイープ — ソースにバイナリゼロのリリース証明
- セキュリティポリシー — 脆弱性報告とサポート対象バージョン
- OpenSSF Scorecard バッジ — リアルタイムのスコア
脆弱性の報告
リポジトリの Security タブにある プライベート脆弱性報告 を使用してください。完全なポリシー、サポート対象バージョンのマトリクス、応答のタイムラインは SECURITY.md にあります。
サプライチェーンのリリース証明
すべてのリリース成果物には以下が同梱されます。
- SLSA-3 ビルド由来証明、
slsa-framework/slsa-github-generator経由 - Sigstore 署名、
sigstore/cosign-installer経由 - CycloneDX SBOM、
anchore/sbom-action経由 - npm 由来証明ステートメント、
@ahmed-g-gad/apothem上の Trusted Publishing OIDC 経由 - GPG 署名付き git タグ(EDDSA 鍵
70396FED9C634163)
検証手順は リリースサイクル と リリース復旧 にインラインで記録されています。専用のリリース検証ランブックは近日提供予定です。