主要观点：现代 CI/CD 管道对快速可靠的软件交付至关重要，但也易受攻击，传统管道存在风险，零信任 CI/CD 通过分层防御来解决这些风险。
关键信息：

• 传统管道依赖长期凭证等，在云原生环境中风险大。
• 零信任 CI/CD 采用分层方法，确保管道中无隐式信任，基于验证的身份等动态评估请求。
• 建立管道中的身份，消除静态凭证，支持 OpenID Connect 及 OIDC 令牌。
• 验证工作负载身份和执行环境，如 SPIFFE 提供标准化身份标准框架。
• 用 Rego 实施策略，结合运行时信号进行访问决策。
• 实现零信任 CI/CD 可分四阶段，包括识别访问路径等。
• 提供开发者友好的安全控制，如临时调试访问等。
  重要细节：
• OIDC 令牌示例包含子、受众等信息，可验证运行者等。
• SPIFFE 身份自动基于工作负载属性颁发，快速轮换等。
• Rego 策略示例包括关键服务部署审批等多种情况。
• 实施策略分四阶段，逐步实现零信任 CI/CD。
• 开发者友好的安全控制可临时授权等，同时保证安全。
  零信任 CI/CD 遵循深度防御原则，消除静态信任假设，提高安全性和可追溯性，支持快速安全的软件交付。