-
Notifications
You must be signed in to change notification settings - Fork 112
fr security
github-actions[bot] edited this page Jun 29, 2026
·
1 revision
♪ Sécurité
- ClawSec sécurise à la fois la distribution du contenu (artefacts signés) et le comportement d'exécution (gage consultatif, surveillance de l'intégrité).
- Les ancres de confiance sont piquées les clés publiques engagées en repo et vérifiées par rapport aux sorties générées par le workflow.
- Runtime consommateurs par défaut à la vérification-premier comportement avec des drapeaux de contournement de migration explicite.
Contrôles cryptographiques Mécanisme de contrôle Lieu
- Oui.
- Oui. Authenticité de l'alimentation: Ed25519 signatures détachées (
feed.json.sig) . - Oui. L'intégrité de l'artefact Les manifestes de somme de contrôle SHA-256 (checksums.json) - Oui. - Oui. Comparaison des empreintes digitales entre les docs + PEM canoniques. - Oui. Mesure de vérification de la signature - Oui.
Contrôles d'exécution Contrôle Composante Effet
- Oui.
clawsec-advisory-guardian= Alertes et conseils prudents basés sur des avis assortis. - Oui. Installateur double confirmation Depuisguarded_skill_install.mjsSortie42jusqu'à confirmation explicite des avis correspondants. - Oui. Extension de la réputation declawsec-clawhub-checker. - Oui.skill-signature-handler.ts+ outil MCP. - Oui. Moniteur de base de l'intégrité :soul-guardian+ NanoClaw Moniteur de l'intégrité : détection de la dérive, quarantaine, restauration, historique vérifiable. - Oui.
Contrôles de la chaîne d'approvisionnement et de l'IC
- L'IC court Trivy, npm audit, CodeQL, et Scorecard workflows.
- Les vérifications pré-push locales peuvent exécuter
gitleaks detectlorsquegitleaksest installé. - Release workflows valide l'existence du fichier SBOM avant l'emballage.
- Déployer le flux de travail vérifie l'empreinte de la clé de signature générée contre le matériel de clé canonique.
- Les documents de publication comprennent des commandes de vérification manuelle pour les consommateurs en aval.
-
wiki/security-signing-runbook.mddéfinit les phases de génération, de garde, de rotation et d'incident. -
wiki/migration-signed-feed.mddéfinit les niveaux d'exécution et de renversement par étapes. - Les chemins de retour priorisent la préservation de l'édition signée dans la mesure du possible et le décalage horaire.
# verify canonical public key fingerprint
openssl pkey -pubin -in clawsec-signing-public.pem -outform DER | shasum -a 256# run repo key-consistency guardrail used in CI
./scripts/ci/verify_signing_key_consistency.sh- Le mode de compatibilité non signé peut réduire l'assurance et devrait être désactivé une fois la migration terminée.
- Certains chemins de déploiement tolèrent les actifs de bilan non signés pour la compatibilité en arrière.
- Les contrôles de réputation reposent sur la sortie d'outillage externe et peuvent inclure les faux positifs/négatifs heuristiques.
- Les scripts locaux héritent de la confiance en l'environnement ; les shells locaux compromis peuvent encore subvertir les workflows de l'opérateur.
Possibilités de durcissement
- Supprimer les drapeaux de compatibilité non signés après stabilisation de la migration.
- Étendre la vérification déterministe de la somme de contrôle/signature de tous les fichiers de libération miroir.
- Ajouter des tests explicites pour les scénarios d'échec de signature au niveau du workflow.
- Augmenter la télémétrie d'exécution pour les défauts de récupération/vérification pour simplifier le triage des incidents.
- 2026-02-26: Repointed signature et références de migration à partir de fichiers racine
docs/vers les pages d'exploitationwiki/dédiées.
Références sources
- Sécurité md
- wiki/security-signing-runbook.md
- wiki/migration-signé-feed.md
- scripts/ci/vérify_signing_key_consistance.sh
- .github/actions/sign-and-vérify/action.yml
- .github/workflows/poll-nvd-cves.yml
- .github/workflows/community-advisory.yml
- .github/workflows/kill-release.yml
- .github/workflows/deploy-pages.yml
- compétences/clawsec-suite/hooks/clawsec-advisory-guardian/lib/feed.mjs
- compétences/clawsec-suite/scripts/guarded_skill_install.mjs
- compétences/clawsec-clawhub-checker/scripts/enhanced_guarded_install.mjs
- compétences/soul-guardian/scripts/soul_guardian.py
- compétences/clawsec-nanoclaw/host-services/skill-signature-handler.ts
- compétences/clawsec-nanoclaw/guardian/integrity-monitor.ts
- Security Signing Runbook
- Signed Feed Migration Plan
- Platform Verification Checklist
- Cross-Platform Remediation Plan
- Frontend Web App
- ClawSec Suite Core
- ClawSec Scanner
- Hermes Attestation Guardian
- Hermes Attestation Guardian Draft History (Archived)
- NanoClaw Integration
- Picoclaw Security Guardian
- Picoclaw Self Pen Testing
- Runtime Traffic Guardian Baseline
- Automation and Release Pipelines
- Local Validation and Packaging Tools