Nix: Nachweislich sichere Software-Lieferketten
Die Einhaltung strenger Sicherheitsbestimmungen für Software-Lieferketten erfordert oft teure abgeschottete Umgebungen und umfangreiche Prüfungen. Dieser Artikel stellt Nix, einen leistungsstarken Paketmanager, als Lösung vor. Nix ermöglicht eine nachweislich sichere Software-Lieferkette, ohne die Entwicklungsgeschwindigkeit zu beeinträchtigen. Es verfolgt den genauen Ursprung und die Integrität der Software und erzeugt überprüfbare Offline-Quellpakete. Ein bootfähiges NixOS-Image-Beispiel zeigt, wie Nix verifizierbare Fixed-Output-Derivationen (FODs) aus dem Abhängigkeitsbaum extrahiert, wodurch Offline-Neubau möglich ist, um vollständige Rückverfolgbarkeit und Integrität zu gewährleisten. Dies macht die Compliance von einem Hindernis zu einem überschaubaren Schritt der Nachverifizierung nach der Entwicklung und reduziert deutlich die Kosten und steigert die Entwicklungseffizienz.