Visión general
De qué trata este proyecto.
Recibes 3 servicios críticos (Node.js, Python, Go) en GitHub con GitHub Actions. Genera SBOM con CycloneDX para cada release (Syft + jq para validar). Firma artefactos con cosign (Sigstore) y publica attestations en Rekor. Cumple SLSA Nivel 3 (build hermético, builder confiable, provenance no falsificable). Integra verificación en deployment (admission controller en Kubernetes con policy de verificación cosign). Configura escaneo de dependencies con Grype + Trivy contra DB de vulnerabilidades. Diseña respuesta a vulnerabilidad zero-day en dependencia (proceso documentado con SLO de respuesta). Entrega SBOM + firmas + attestations + admission policy + runbook zero-day.
El Briefing
Lo que harás y lo que demostrarás.
Implementar SBOM CycloneDX + firmas Sigstore + SLSA Nivel 3 sobre 3 servicios críticos con runbook de zero-day en 4 meses.
Earning criteria — what you'll demonstrate
- Generar SBOM CycloneDX completo y validarlo contra schema
- Firmar artefactos con cosign y publicar attestations en Rekor
- Cumplir requisitos SLSA Nivel 3 (build hermético + provenance)
- Diseñar respuesta operativa documentada a zero-day en dependencia
Encaje académico
Dónde encaja esto en tus estudios.
Afina las mismas habilidades que tu titulación espera de ti.
Habilidades
Habilidades que demostrarás.
Cada una aparece en tu credencial verificada.
Carreras
Roles para los que esto te prepara.
Títulos reales. Puentes de habilidades reales. Elige el que más se acerque a tu trayectoria.