Versão pública

Supply Chain

O Supply Chain Sentinel analisa branch, workflow, pacote, credenciais e sinais de exfiltração para decidir se um artefato deve seguir, ser revisto ou ser bloqueado. Esta página mostra a lógica publicamente; a tela operativa continua protegida pelo login.

Branch trust Pipeline integrity Credential shield Evidence preserved
Abrir versão operativa Ver arquitetura Falar com a equipe
Branch trust

Valida branch recém-criada, proteção do branch, assinatura do commit e ator fora do padrão.

Pipeline integrity

Observa GitHub Actions, `npm publish`, Trusted Publishing, permissões e downloads externos.

Credential shield

Procura acesso a `.env`, `.ssh`, tokens de CI/CD e configurações de ferramentas de IA.

Evidence preserved

Mantém hash, trilha, razão da decisão e contexto para auditoria posterior.

Como a decisão sai
1. Ingestão

Normaliza repositório, branch, ator, commit, workflow e artefatos alterados.

2. Correlação

Cruza sinais de build, instalação, publicação, credenciais e destino acessado.

3. Score

Converte sinais em nível `LOW`, `REVIEW` ou `BLOCK` com justificativa reproduzível.

4. Ação

Preserva a evidência e orienta o cliente sobre bloqueio, revisão ou liberação controlada.

Cenários comuns
  • Publicação em branch protegida O pipeline usa Trusted Publishing, commit assinado e sem download externo.
  • Workflow alterado em pull request O score sobe quando o arquivo de pipeline ganha permissão ampla ou chamada fora do padrão.
  • Install script acessa segredos O Sentinel fecha a análise quando encontra leitura de `.env`, `AWS_SECRET_ACCESS_KEY` ou `.ssh`.
  • Evidência preservada para revisão Cada decisão mantém hash, sinalização e trilha para auditoria posterior.