Skip to main content

Systemarchitektur

Attestree ist eine Software-Supply-Chain-Plattform für Windows-Flotten, aufgebaut um eine einzige Idee: Provenance beim Ingest prüfen, nicht nach der Installation. Die meisten Scanner untersuchen Binaries, die bereits flottenweit ausgerollt sind; Attestree besitzt die Katalog- und Distributionsschicht, sodass Richtlinien durchgesetzt werden, bevor ein Artefakt überhaupt einen Endpunkt erreicht.

Das System hat zwei Oberflächen: eine Control Plane + Agent, die Ingest Gate, Attestierung und ring-basiertes Deployment betreibt, und eine öffentliche Eingangstür — die Marketing-Website und eine Open-Core Community Edition.

Ingest Gate

Jedes aus einer Quelle geladene Paket — heute winget, mit weiteren Paketmanagern und Custom-MSI/MST auf der Roadmap — durchläuft vor der Aufnahme ein Policy Gate.

StufeVerantwortlichkeit
FetchArtefakt und Metadaten aus der konfigurierten Quelle laden
Provenance-PrüfungBuild-Provenance und Signaturen gegen vertrauenswürdige Roots verifizieren
SBOMCycloneDX Software Bill of Materials anhängen / verifizieren
Policy-EvaluierungMindest-SLSA-Level, CVE-Schweregrad-Obergrenze und Lizenz-Allow-List durchsetzen
EntscheidungAufnehmen (mit signiertem Receipt) oder ablehnen — abgelehnte Artefakte erreichen keinen Ring

Ring-basiertes Deployment

Aufgenommene Artefakte werden über Promotion-Rings ausgerollt statt flottenweit auf einmal, sodass ein fehlerhaftes Paket auf einen kleinen Blast-Radius begrenzt bleibt und mit einer einzigen Policy-Änderung zurückgerollt werden kann.

Quelle ──► Ingest Gate ──► Signierte Attestierung


                          Canary ──► Pilot ──► Broad ──► All

                          Auto-Rollback bei Fehlersignal

Attestiertes Inventar

Parallel zum Deploy-Pfad pflegt Attestree ein einheitliches, attestiertes Inventar über jeden Paketmanager, den ein Gerät betreibt — ein einziges Rollup statt der Abstimmung einzelner Tool-Ausgaben. Eine CVE-Matrix gleicht das gemeldete Inventar gegen öffentliche Schwachstellen-Feeds (NVD / OSV / MSRC) ab, und das Gesamtbild lässt sich als signiertes Bundle exportieren, das ein Auditor unabhängig verifizieren kann.

Control-Plane-Stack

SchichtWahl
Server-RuntimeWindows Server 2025
Client / AgentWindows 11, .NET, AOT-kompilierter Agent + Installer-Shim
Operativer StorePostgreSQL mit Per-Tenant-Scope als erstklassiger Invariante
DistributionOCI-kompatible Registries
AttestierungSignierte Receipts; heute verwaltete Signaturschlüssel, Sigstore-verankerte Verifikation auf der Roadmap

Open-Core-Distribution

Attestree ist Open-Core. Der SYSTEM/User-Installer-Shim und sein IPC-Vertrag sind Open Source unter Apache-2.0; die Plattform selbst ist Closed-Source. Eine Community Edition wird als cosign-signiertes Docker-Image zum Self-Hosting veröffentlicht, während die kommerzielle Control Plane als Multi-Tenant-SaaS oder als selbst gehostete Appliance aus demselben Bundle verfügbar ist.

Öffentliche Eingangstür

Die Marketing-Website unter attestree.com ist eine separate, vollständig öffentliche Oberfläche:

SchichtWahl
FrameworkAstro mit Tailwind (via PostCSS) + MDX, statischer Output
HostingCloudflare Pages (Git-Integration-Deploys, Preview-Deploy pro PR)
WartelisteSame-Origin Cloudflare Pages Function mit D1 in einer EU-Jurisdiktion
Bot-AbwehrCloudflare Turnstile
Build-SicherheitSHA-gepinnte GitHub Actions, least-privilege GITHUB_TOKEN, committetes Lockfile, Dependabot und ein npm audit CI-Gate