الصفحة الرئيسية>كود المصدر JSP>فئات أخرى
تنزيل

رهيبة-أمنية السلسلة الأمنية

مجموعة من الموارد في مجال أمان سلسلة التوريد البرمجيات ، مع التركيز على المصدر المفتوح.

  • رهيبة-أمنية السلسلة الأمنية
    • حول هذه القائمة
    • الذكاء التبعية
      • SCA و SBOM
      • تبادل معلومات الضعف
    • نقاط الاستخدام
      • سلسلة التوريد خارج المكتبات
    • الهوية والتوقيع والفصل
    • الأطر وأفضل مراجع الممارسات
    • بناء التقنيات
    • المحادثات والمقالات والتغطية الإعلامية وغيرها من القراءة
      • البدء والبقاء جديد

حول هذه القائمة

لا يوجد تصنيف محدد لهذا المجال. سيكون للضرورة بعض التداخل مع التخصصات والفئات مثل DevSecops و SAST و SCA والمزيد.

يوفر Repo لتوليف سلسلة التوريد قراءة طويلة حول سبب هذا هو الحال ، بالإضافة إلى مؤشرات مفيدة لفهمها وتنقلها مع تطورها.

بالنسبة إلى awesome-software-supply-chain-security فإننا نتبع النهج الرفيع المستوى التالي: المساهمة الجهات الفاعلة المختلفة في سلسلة التوريد تساهم في شهادات العناصر الممثلة في السلسلة.

في هذا العرض المتمحور حول العملية ، يتم الانبعاثات ، معززة (على سبيل المثال ، أثناء التكوين) والتحقق منها .

تم وصف طريقة أخرى للنظر إلى ذلك هنا من قبل جوش بريسرز ، وهنا مثال سردي في البرية من سبوتيفي

باستخدام هذه العدسة ، يمكننا تحديد مجموعة كبيرة من "الموضوعات" (التبعيات) ، وفئات مميزة من "الحقائق" (التراخيص أو نقاط الضعف) والدور المحدد للهوية والأنظمة والبناء. هذا هو الأساس المنطقي وراء العناوين الحالية ، والتي من المتوقع أن تتطور مع المجال.

تشمل الأمثلة الأخرى للعملية المستمرة لتحديد المجال Add Design كسيناريو لسلسلة التوريد · العدد رقم 249 · SLSA-Framework/SLSA وكيف تتناسب SLSA مع أمان سلسلة التوريد الأوسع؟ · العدد رقم 276 · SLSA-Framework/SLSA. تحقق من هذه التغريدة من Aeva Black مع Dan Lorenc للحصول على عرض آخر في الرصاص لمشاريع رئيسية زوجين.

الذكاء التبعية

يتضمن هذا القسم ما يلي: إدارة الحزم ، وإدارة المكتبات ، وإدارة التبعية ، وإدارة التبعية المزايدة ، والبحث الجانبي ، والحزمة ، وتسمية المكتبات والتبعية ، ووضع علامات على سلوك المكتبات ، ونشر المكتبات ، والسجلات والمستودعات ، ونشر البوابات والمسح ، ودورة الحياة التبعية.

  • رؤى مفتوحة المصدر
  • GUACSEC/GUAC: GUAC يجمع بيانات أمان البرامج في قاعدة بيانات رسم بياني عالي الإخلاص.
  • Package-url/purl-spec: الحد الأدنى من المواصفات لـ Purl AKA. حزمة "في الغالب عالمي" ، انضم إلى المناقشة على https://gitter.im/package-url/lobby
  • الخدمات عبر الإنترنت التي تساعد على فهم ماهية التبعية المحددة ، أو على الأقل ما إذا كانت معروفة (عادةً ما تغذيها معرف حزمة ، مثل purl أو CPE أو أي شكل آخر من أشكال ecosystem:name:version ، أو بدلاً من ذلك عبر التجزئة):
    • NSRL: تجزئة لبرامج COTS ، المتكاملة بشكل جيد في الأدوات من sleuthkit/hfind إلى nsrllookup
    • مصدر يمكن الاستعلام عنه عبر واجهة برمجة تطبيقات عامة (HTTP و DNS!) ويمكن أن يكون أكثر وضوحًا مصدرًا هو circl hashlookup
    • يتمتع Repology بتغطية أسطورية لحزم Linux عبر توزيع متعددة ؛ تعد مصدرها المصاحب للبنية التحتية الأخرى المصدر المفتوح. إنه يوفر محدثًا لـ Wikidata والذي يحتوي أيضًا على خصائص ذات أهمية لنطاق أمان سلسلة التوريد.
    • بيانات بيانات مستودعات دبيان الخارجية
    • Libraries's Tidelift.IO يوفر واجهة برمجة تطبيقات ويدعم أكثر من 30 نظامًا إيكولوجيًا (والعديد من أدوات المصادر المفتوحة المفيدة)
    • يقدم وكيل Whitesource الموحد أيضًا بعض قدرات مطابقة الملفات المتطورة
    • يتمتع مشروع تراث البرمجيات بقدرات ابتلاع هائلة ويقدم واجهة برمجة تطبيقات يمكنها التحقق بكفاءة مما إذا كان التجزئة معروفة ، وتقديم معلومات معينة عن الملف إذا كان الأمر كذلك
      • انظر أيضًا SWH Scanner CLI
    • هاشد - تجزئة تشفير جيدة معروفة
    • يوفر محدد بوضوح معلومات الترخيص لمكونات المصدر المفتوح ، بالنظر إلى إحداثياتها
    • LGTM - منصة تحليل التعليمات البرمجية للعثور على الثغرات الأمنية ومنعها يسمح بالبحث يدويًا بواسطة Github repo
    • يوفر دليل الشفافية الثنائية واجهة برمجة تطبيقات تسمح بالبحث عن الحزم عن طريق التجزئة والسمات الأخرى
      • القراءة ذات الصلة بطريقة ما هي النصف الثاني من كيفية التحقق
      • و SubResource Gtortity
      • لا ينبغي الخلط بينه وبين القراءة الأسطورية حول الشفافية الثنائية
  • للمدخلات المكتسبة على سبيل المثال ، عبر curl :
    • SpectralOPS/Preflight: تساعدك المبدئيات المبدئية على التحقق من البرامج النصية والمواد التنفيذية للتخفيف من سلسلة هجمات التوريد مثل اختراق Codecov الأخير.
    • Apiaryio/Curl-Trace-Parser: محلل للإخراج من Curl-Trace Option
      • Trace Trace Attestor · العدد رقم 139 · testifysec/شاهد
    • الأصدقاء لا يدعون الأصدقاء حليقة | سحق
      • وتمكين تمكين التغليف من حليقة | باش وغيرها من الأشياء البرية. بواسطة Jordansissel · طلب سحب #1957 · Jordansissel/FPM
    • فالكو
    • Aquasecurity/Tracee: Linux Runtime Security and الطب الشرعي باستخدام EBPF
    • GenityInetools/Bane: مولد ملف تعريف Apparmor مخصص وأفضل لحاويات Docker.
    • الحاويات/OCI-Seccomp-BPF-Hook: Hook OCI لتتبع syscalls وإنشاء ملف تعريف seccomp
    • Bottlerocket-OS/Hotdog: Hotdog عبارة عن مجموعة من خطافات OCI تستخدم لحقن التصحيح الساخن Log4J في حاويات.
  • DEPFENCE/THEARMAPPER: منصة قابلية الملاحظة للأمن الأصلي السحابي مفتوح المصدر. Linux ، K8S ، AWS Fargate وأكثر من ذلك.
  • فحص الاعتماد
  • OSSF/تحليل الحزمة: تحليل حزمة مفتوح المصدر و OSSF/حزم التغذية: تحليل التغذية لتحديثات مدير حزمة اللغات
    • ذات الصلة: إدخال تحليل الحزمة: مسح حزم المصدر المفتوح للسلوك الضار
    • وأيضًا Argo Security Automation مع OSS-Fuzz ، مما يؤدي إلى تحسين الأمان عن طريق غزو مشهد CNCF و Google/OSS-Fuzz: OSS-Fuzz-استمرار لبرنامج مفتوح المصدر.
    • و clusterfuzzlite
    • لـ node.js: codeIntelligencetesting/jazzer.js: توجيه التغطية ، في عملية التغذية ،
    • أيضًا ، على الرغم من أنه يمكن القول أكثر في مجال قابلية الملاحظة للتطبيق ، فإن Intellabs/Control-Flag: نظام لإعلام تعبيرات شفرة المصدر الشاذ عن طريق تعلم التعبيرات النموذجية من بيانات التدريب
  • Abhisek/Supply-Chain-Security-Gateway: العمارة المرجعية وإثبات تنفيذ المفاهيم لبوابة أمان سلسلة التوريد
  • CUGU/GOCAP: أدرج إمكانيات التبعيات الخاصة بك ومراقبة إذا كانت التحديثات تتطلب المزيد من القدرات.
  • MATE: تحليل البرنامج التفاعلي مع الرسوم البيانية لخاصية الكود وانظر Galoisinc/Mate: Mate هو مجموعة من الأدوات لتحليل البرنامج التفاعلي مع التركيز على الصيد للخلل في رمز C و C ++ باستخدام الرسم البياني للممتلكات الرمزية والمستندات
  • CheckMarx/Chainalert-github-action: مسح الحزم والتنبيهات الشائعة في الحالات ، هناك شك في إجراء عملية استحواذ على حساب
  • مشروع Open Source Security Foundation (OpenSF) Alpha-Omega
  • المقبس - ابحث عن ومقارنة ملايين حزم المصادر المفتوحة ، التي تركز على JavaScript
  • Diffoscope: مقارنة متعمقة للملفات والأرشيفات والأدلة
  • RedHatproductSecurity/Component-Registry: سجل المكون (CORGI) يجمع بيانات المكون عبر المنتجات المدعومة من Red HAT والخدمات المدارة وخدمات خطوط أنابيب المنتجات الداخلية.
  • OSS Insight ، المدعوم من Cloud ، هي أداة رؤية يمكن أن تساعدك في تحليل أي مستودع/مطورون من GitHub ، ومقارنة أي مستودعين باستخدام نفس المقاييس ، وتوفير رؤى شاملة وقيمة وتجارية مفتوحة المصدر.
  • الإعلان عن النسخة التجريبية الخاصة لذكاء مخاطر الأحفور
  • من المشاريع | مؤسسة شفافية البرمجيات ، انظر OSSKB | مخزون مجاني مفتوح المصدر
    • وخاصة: scanoss.py/package.md في Main · scanoss/scanoss.py
  • Artifact Hub ، يضم تقرير أمان الحزم ويتحقق أيضًا من Cosign
  • crt.sh | البحث عن الشهادة
  • grep.app | البحث عن الكود
  • بحث رمز جيثب
  • SearchCode | محرك بحث رمز المصدر
  • SourceGraph من SourceGraph
  • على متن مساهمين مفتوح المصدر على محور مفتوح المصدر ، راجع مثال Docker-splim في CODESEE
  • Code Checker من Snyk
  • ابدأ - الأحفور
  • CVE-Search/git-vuln-finder: العثور على نقاط الضعف المحتملة للبرمجيات من رسائل الالتزام GIT
  • Chaoss/Augur: مكتبة Python وخدمة الويب لمقاييس وجمع البيانات المفتوحة للبرمجيات والاستدامة. يمكنك العثور على وثائقنا ومعلومات المساهمين الجديدة بسهولة هنا: https://chaoss.github.io/augur/ ومعرفة المزيد عن Augur على موقعنا https://augurlabs.io
  • IBM/CBOM: تشفير فاتورة المواد
  • AppThreat/Blint: Blint عبارة عن مخطط ثنائي للتحقق من خصائص الأمان ، والقدرات في التنفيذيين. إنه مدعوم من Lief.

اقرأ أيضا:

  • Taptuit/Awesome-Devsecops: تنسيق أفضل موارد DevSecops والأدوات.
  • اقرأ: كفاف: نظام عملي للشفافية الثنائية
  • العديد من المفاهيم المثيرة للاهتمام في: Shopify/Seer-protytype: استنباط خبير الأمن للمخاطر

SCA و SBOM

يتضمن هذا القسم ما يلي: ماسحات الضوئية والمكتبات ، وتنسيقات SBOM ، والمعايير ، والتأليف والتحقق من الصحة ، وبعض التطبيقات. من المحتمل أن تشمل SCA.

المرجع الأكثر اكتمالا هو awesomesbom/رائع sbom. إن الريبو المفيد الآخر الذي يركز على المولدات هو cybeats/sbomgen: قائمة أدوات توليد SBOM.

  • Gitbom
    • أيضًا: git-bom/bomsh: bomsh هي مجموعة من الأدوات لاستكشاف فكرة gitbom
    • Yonhan3/Gitbom-Repo: مستودع مستندات Gitbom لثنائيات Linux
    • الاستماع: Gitbom. إنه ليس غيتًا أو SBOM و GITBOM: إعادة تشكيل الرسم البياني لـ GIT لأمان وشفافية سلسلة التوريد
    • انظر أيضًا Bomsage/Vision.md في Main · DPP/Bomsage ، و PkgConf/Main.c في Master · PkgConf/PkgConf (مزيد من المعلومات في هذا الموضوع)
  • NEXB/SCANCODE-TOOLKIT: يكتشف SCANCODE التراخيص وحقوق الطبع والنشر وبيانات الحزمة وتبعيات وأكثر من ذلك عن طريق مسح رمز ... لاكتشاف ومخزون المصدر المفتوح وحزم الطرف الثالث المستخدمة في الرمز الخاص بك.
  • قائمة أدوات SCA الخاصة بـ OWASP شاملة من تلقاء نفسها
  • Grafeas: API Metadata API مكون
  • TrailofBits/IT-DEPENDS: أداة لإنشاء رسم بياني للمواد والبرامج تلقائيًا (SBOM) للحزم ومستودعات شفرة المصدر التعسفية.
  • Mend SCA SBOM ، MEND BOLT: FIND وإصلاح نقاط الضعف المفتوحة المصدر وتجديد Whitesource: تحديثات التبعية الآلية
    • RENOVATEBOT/RELEST: أداة تحديث التبعية العالمية التي تتناسب مع سير العمل الخاص بك.
      • اقرأ أيضًا حالات الاستخدام - تجديد المستندات
  • JFROG XRAY - تحليل المكون العالمي ومسح أمان الحاوية
  • REPENDENCETTRACK/TREFENCOL-TRACK: TRACK TRACK هي منصة تحليل مكونات ذكية تتيح للمؤسسات تحديد وتقليل المخاطر في سلسلة إمداد البرمجيات.
    • قراءة جيدة على مسار التبعية
  • OSS-Review-Toolkit/ORT: مجموعة من الأدوات للمساعدة في مراجعة تبعيات البرامج مفتوحة المصدر.
  • مرساة/syft: أداة ومكتبة CLI لإنشاء فاتورة للبرامج من صور الحاويات وأنظمة الملفات من حلول أمان سلسلة توريد البرمجيات • ربط
    • ملاحظة أيضًا: يخلق أمر docker sbom الجديد SBOMs باستخدام SYFT
    • إنشاء شاهالات SBOM باستخدام Syft و Sigstore
    • تدفق بسيط: utils/ci/github/docker-build-sign-sbom في Main · Marco-Lancini/utils
  • أعلن: المسح الآن في وضع الصيانة · العدد رقم 352
  • أمن الحاوية | Qualys ، Inc.
  • Aqua Cloud Native Security و Container Security و Serverless Security
  • Tern-Tools/Tern: Tern هي أداة تحليل تكوين البرامج ومكتبة Python التي تنشئ فاتورة للبرنامج لصور الحاويات و dockerfiles. سوف يمنحك SBOM التي تولدها Tern وجهة نظر تلو الأخرى لما يوجد داخل الحاوية الخاصة بك في مجموعة متنوعة من التنسيقات بما في ذلك القراءة البشرية ، JSON ، HTML ، SPDX والمزيد.
  • REA-Products/C-SCRM-USE-CASE في Master · RJB4STANDARDS/REA
    • انظر أيضًا Energy SBOM Proof of Concept - INL
  • Phylum تحليل إجراء العلاقات العامة: إجراء GitHub لتحليل طلبات السحب لمشكلات سلسلة التوريد مفتوحة المصدر من Phylum | شركة أمان سلسلة التوريد البرمجيات
  • Microsoft/كشف المكون: يقوم بمسح مشروعك لتحديد المكونات التي تستخدمها
  • قزم 5 معيار
  • تحديد البرمجيات (SWID) وضع العلامات | CSRC والإرشادات لإنشاء علامات تعريف البرامج (SWID) قابلة للتشغيل
  • علامات تعريف البرامج الموجزة
  • Hughsie/Python-Uswid: أداة صغيرة لتضمين علامات coswid في ثنائيات EFI
    • انظر أيضا الموضوع
      • والمثال العملي في CoreBoot
  • ckotzbauer/sbom-operator: كتالوج جميع صور مجموعة kubernetes إلى أهداف متعددة مع syft
  • إدارة المشكلات الأمنية في أمن تطبيقات Dynatrace
  • DefectDojo/Django-Defectdojo: DefectDojo هي أداة إدارة DevSecops و Prupability.
    • قائمة مثيرة للإعجاب من التكامل مع العينات: DefectDojo/sample-scan-files: عينة من ملفات المسح الضوئي لاختبار الواردات defectdojo
  • Swingletree-Oss/Swingletree: دمج ومراقبة نتائج أدوات خط أنابيب CI/CD
  • مرسيدس -بنز/sechub: Sechub - طريقة مركزية وسهلة لاستخدام أدوات أمان مختلفة مع API/عميل واحد
  • Marcinguy/BetterScan -CE: Code Scanning/SAST/Static Analysis/Linting باستخدام العديد من الأدوات/الماسحات الضوئية مع تقرير واحد (رمز ، IAC) - Edition BetterScan Community (CE)
  • BBVA/Susto: تنسيق اختبار أمان عالمي منهجي
  • Appthreat/Rosa: تجربة تبدو واعدة للغاية حتى الآن.
  • حل الحفرة SBOM
  • rezillion SBOM الديناميكي
  • OpenSbom-Generator/SPDX-SBOM-Generator: دعم توليد CI من SBOMs عبر أدوات Golang.
  • Tauruseer's SBOM أدوات
  • اللغات المدعومة من SOOS
  • قلعة: فاتورة للمواد البرمجيات
  • javixeneize/yasca: أداة أخرى SCA
  • Cybeats SBOM Studio
  • Edgebitio/Edgebit-Build: إجراء GitHub لتحميل SBOMs إلى Edgebit واستلام سياق الضعف في طلبات السحب الخاصة بك من أمن سلسلة التوريد في الوقت الفعلي ، مما يتيح فرق الأمان من استهداف وتنسيق معالجة الضعف دون كدح.
  • ريا ضمان البرامج الوصي على رجل (SAG PM)
  • Microsoft/SBOM-TOOL: أداة SBOM هي أداة جاهزة للغاية ومؤسسة لإنشاء SBOMs متوافق مع SPDX 2.2 لأي مجموعة متنوعة من القطع الأثرية
  • SCA من Veracode لأتمتة المسح الضوئي للأمان ، راجع العرض التوضيحي: كيفية إنشاء فاتورة للمواد البرمجية (SBOM) باستخدام تحليل تكوين برنامج Veracode
  • Enterprise Edition - Blubracket: Code Security and Secret
  • تحليل تكوين البرمجيات (SCA) | Cyberres
  • Nexus Intelligence - Sonatype Data Services
  • AppThreat/DEP-SCAN: تدقيق أمان مفتوح المصدر بالكامل لتبعيات المشروع بناءً على نقاط الضعف والاستشارات المعروفة. يدعم كلاً من عمليات إعادة الشراء المحلية وصور الحاويات. يتكامل مع بيئات CI المختلفة مثل خطوط أنابيب Azure و Circleci و Google CloudBuild. لا يوجد خادم مطلوب!
  • SBS2001/FATBOM: FATBOM (فواتير الدهون للمواد) هي أداة تجمع بين SBOM الناتجة عن أدوات مختلفة في SBOM واحدة من الدهون. وبالتالي الاستفادة من قوة كل أداة.
  • دكتور سوناتمية بوم
  • jhutchings1/spdx-to-dependency-graph-action: إجراء github الذي يأخذ sboms spdx ويحملها إلى واجهة برمجة تطبيقات التبعية الخاصة بـ Github إلى تنبيهات تعتمد على السلطة
    • انظر أيضًا: evryfs/sbom-dependency-summer-action: إرسال sboms إلى واجهة برمجة تطبيقات التقديم التبعية لـ Github
    • ومستندات تقديم التبعية
  • TAP8STRY/ORION: تجاوز اكتشاف مدير الحزمة لـ SBOM
  • Patriksvensson/العهد: أداة لإنشاء SBOM (فاتورة للمواد البرمجيات) من القطع الأثرية في رمز المصدر.
  • Cyclonedx/Cyclonedx-Webpack-Plugin: إنشاء فاتورة للبرامج Cyclonedx (SBOM) من حزم WebPack في وقت الترجمة.
  • الأمن المتقدم/GH-SBOM: قم بتوليد SBOMs مع GH CLI
  • Interlynk -IO/SBOMQS: SBOM جودة نقاط - مقاييس الجودة ل SBOMS الخاص بك
  • eBay/SBOM-SCORECARD: قم بإنشاء درجة لـ SBOM لفهم ما إذا كان سيكون مفيدًا بالفعل.

موارد أكثر إثارة للاهتمام:

  • الفرامل البودكاست للأمان: 2020-031-olan Friedman ، SBOM ، شفافية البرمجيات ، ومعرفة كيفية صنع النقانق
  • الحلقة 312: أسطورة SBOM
  • إعادة تصور البودكاست السيبراني: يوفر Log4J الثغرة دروسًا قاسية في تبعيات غير معروفة
  • سلسلة بودكاست بودكاست ديون التكنولوجيا 1 E11: آلان فريدمان و SBOMS
  • Sounil Yu على SBOMs ، أمان سلسلة التوريد البرمجيات - محادثات أمان
  • استكشاف الأمن. أهمية SBOM. Scott McGregor ، Cloud Security ، Wind River
  • أسفل البودكاست الحاخام الأمني: DTSR الحلقة 487 - سلسلة التوريد البرمجيات هي BFD
  • تحليل تكوين البرامج البودكاست: سلسلة التوريد البرمجيات - الحلقة 1
  • تحديث حاسم: هل تعرف ما هو موجود في برنامجك؟
  • برامج فاتورة المواد | CISA
  • حالة استخدام SBOM - RKVST و RKVST SBOM HUB - RKVST
    • اقرأ أيضًا: SBOM HUB - تعيينات السمة NTIA
  • BOF: SBOMS للأنظمة المدمجة: ما الذي يعمل ، ما هو غير ذلك؟ - كيت ستيوارت ، مؤسسة لينكس
  • كل شيء عن هذا bom ، 'bout that bom - Melba Lopez ، IBM
  • OWASP Cyclonedx يطلق SBOM Exchange API
  • اقرأ: SBOM Management | ست طرق يمنع sbom الامتداد
  • اقرأ: NTIA هو الحد الأدنى لعناصر المواد
  • اقرأ: ما يمكن أن يفعله SBOM من أجلك

تقوم عدد قليل من المشاريع مفتوحة المصدر بتوثيق ، في الأماكن العامة ، كيف يحصلون على تبعيات. يمكن أن تكون هذه الأمثلة المتعمدة ، القابلة للإنسان ، الطويلة ، توضيحية:

  • Envoy/Dependency_Policy.md في Main · Envoyproxy/Envoy
  • ما يتوقعه حليقة من التبعيات
  • الأمان: قيمة SBOMs من التدفق

تبادل معلومات الضعف

  • OSV
    • اقرأ: SBOM في العمل: العثور على نقاط الضعف مع فاتورة للبرامج من المواد
    • ذات الصلة: SPDX/SPDX-to-OSV: إنتاج ملف JSON مفتوح المصدر استنادًا إلى المعلومات في مستند SPDX
    • الأدوات: Google/OSV-Scanner: Scannerability Scanner مكتوبة في GO والتي تستخدم البيانات المقدمة من https://osv.dev
  • خط أنابيب الكشف عن الضعف في Qualys
  • ضوطي الضعف الماسح الضوئي للضعف في Linux/FreeBSD
  • قاعدة بيانات الضعف ، API متاح أيضًا ؛ انظر Vuldb
  • AppThreat/Budability-DB: قاعدة بيانات الضعف والبحث عن مصادر مثل OSV و NVD و Github و NPM.
  • Aquasecurity/Trivy: ماسح ضوئي للضعف في صور الحاويات وأنظمة الملفات ومستودعات GIT ، وكذلك لمشكلات التكوين
  • sast for code security | رمز سنايك
    • انظر أيضًا: اختيار مكتبات المصادر المفتوحة من Snyk
  • تباين مجتمع مجتمع
  • كتالوج نقاط الثغرات الأمنية المعروفة | CISA
  • CVE-Search/CVE-Search: CVE-Search-أداة لإجراء عمليات البحث المحلية عن نقاط الضعف المعروفة
  • exein-io/kepler: متجر بحث CVE المستند إلى NIST و API مدعوم من الصدأ
  • NEXB/VULNERABLECODE: عمل في مجال قاعدة بيانات نقاط الضعف المجانية والمفتوحة والحزم التي تؤثر عليها. والأدوات لتجميع وربط هذه الثغرات. برعاية nlnet https://nlnet.nl/project/vulnerabilitydatabase/ for https://www.aboutcode.org/ chat على https://gitter.im/aboutcode-org/vulnerableCode
  • Toolswatch/Vfeed: API قاعدة بيانات CVE المرتبطة وتهديدات الذكاء API
  • OSSF/SCORECARD: بطاقات الأمن الأمنية - مقاييس صحة الأمان للمصدر المفتوح ، ومقاييس OSSF/OSSF/مراجعات الأمان: مجموعة مجتمع من مراجعات الأمان لمكونات البرمجيات مفتوحة المصدر.
    • OSSF/ScoreCard-action: عمل GitHub الرسمي لبطاقات ScoreCards OSSF.
      • ملاحظة: كيف يستخدم عمل GitHub Action الخاص بـ Openssf ScoreCard Github OIDC مع Sigstore
    • كما تفتح المواصفات الأمنية الأمنية
    • اقرأ: كيف يمكن لبطاقات ScoreCards OpensSF أن تساعد في تقييم مخاطر البرامج المفتوحة
    • مثال حقيقي على الحياة الواقعية: مستودعات حالة GitHub State Of The Eclipse
  • Lynis - أداة تدقيق وتصلب أمان لـ Linux/Unix
  • الضحايا/الضحايا-CVE-DB: متجر قاعدة بيانات CVE
  • مرسى/grype: ماسح ضوئي للضعف لصور الحاويات ونظم الملفات
    • انظر أيضًا استخدام GRYPE لتحديد نقاط الضعف في عمل GitHub
    • وأيضًا GRYPE يدعم الآن معايير Cyclonedx و SPDX
  • قاعدة بيانات GitHub الاستشارية مفتوحة الآن لمساهمات المجتمع
  • مجموعة عمل قاعدة بيانات الأمان العالمية | CSA ، انظر أيضًا CloudSecurityAlliance/GSD-Database: قاعدة بيانات الأمان العالمية
  • Strampest/CVE: جمع وتحديث كل ما هو متاح وأحدث CVES مع POC الخاصة بهم.
  • RFC 9116: تنسيق ملف للمساعدة في الكشف عن الضعف الأمني
  • تمرين من أجل الالتزام AOSP: arcerslab/AOSP_DATASET: مجموعة بيانات كبيرة للضعف الدقيقة استنادًا إلى AOSP CVE
    • مجموعة بيانات الالتزام بمجموعة بيانات الضعف
  • NYPH-Infosec/Daggerboard
  • Davideshay/Vulnscan: جناح الماسح الضوئي للضعف يعتمد على GRYPE و SYFT من Anchore
  • Devops-Kung-FU/Bomber: مسح SBOMS من أجل الثغرات الأمنية
  • قلعة: إدارة الضعف
  • إدارة الضعف | أدوولوس
  • Secvisogram/secvisogram: Secvisogram هي أداة ويب لإنشاء وتحرير استشارات الأمان بتنسيق CSAF 2.0
  • مستقبل المهندسة المعمارية/الذروة: ماسح ضوئية للضعف من أجل Linux و FreeBSD والحاوية و WordPress ومكتبات لغة البرمجة وأجهزة الشبكة
  • Infobyte/Faraday: منصة إدارة الضعف مفتوحة المصدر من Faraday - Community V4 إصدار
  • MITER/SAF: يجمع واجهة أوامر أتمتة أمان أتمتة MITER (SAF) (CLI) التطبيقات والتقنيات والمكتبات والأدوات التي طورتها MITER ومجتمع الأمان لتبسيط أتمتة الأمان لأنابيب DevOps وخط أنابيب DevOps
  • Devops-kung-FU/Bomber: فوزات برمجيات المواد (SBOMS) لثغرات الأمن
  • rezilion/mi-x: حدد ما إذا كانت حسابك عرضة حقًا لضعف محدد من خلال حساب جميع العوامل التي تؤثر على الاستغلال الفعلي (تنفيذ وقت التشغيل ، والتكوين ، والأذونات ، ووجود التخفيف ، ونظام التشغيل ، إلخ ..)
  • OSSF-CVE-BESTMARM/OSSF-CVE-BENCY: يتكون معيار OpenSSF CVE من التعليمات البرمجية والبيانات الوصفية لأكثر من 200 CVES ، بالإضافة إلى الأدوات لتحليل الأدوات الضعيفة باستخدام مجموعة متنوعة من أدوات اختبار أمان التحليل الثابت (SAST) وإنشاء تقارير لتقييم تلك الأدوات.
  • راجع إدارة الضعف في مستندات Neuvector لأمثلة التكامل في سيناريوهات الحاويات
  • NOQCKS/XEOL: ماسح ضوئي لحزمة نهاية الحياة (EOL) لصور الحاويات والأنظمة و SBOMS
  • Mchmarny/VIMP: قارن البيانات من ماسحات الضعف المتعددة للحصول على صورة أكثر اكتمالا عن التعرضات المحتملة.

يقرأ قسم مخصص عن VEX:

  • Cyclonedx - Exchange استغلال الضعف (VEX)
    • أوضح تبادل استغلال الضعف: كيف تجعل VEX SBOMs قابلة للتنفيذ
    • كيف يساعد VEX SBOM+SLSA على تحسين وضوح سلسلة التوريد | Google Cloud Blog
    • ما هو VEX وما علاقةه بـ SBOMS؟
    • ما هو VEX؟ إنه تبادل الاستغلال الضعف!
    • معيار تبادل استغلال الضعف (VEX)
    • VEX و SBOMS
    • VDR أو VEX - أيهما أستخدمه؟ الجزء 1
    • نكد! أو ... كيفية تقليل ضوضاء CVE مع خدعة بسيطة واحدة! من قبل فريدريك كاوتز
    • تبادل استغلال الثغرات الأمنية (VEX) - مبررات الحالة
  • في الوقت الحقيقي VEX

انظر أيضا:

  • Vulncode-DB على مسار الإهمال
  • Github يجلب ميزات أمان سلسلة التوريد إلى مجتمع الصدأ
  • يعتمد Cycognito رسم خرائط ATT & CK إلى CVE للتأثير
  • اقرأ: نظرة فاحصة على درجات CVSS ، جنون التصحيح: يتم كسر استشارات أخطاء البائع
  • اقرأ: كيفية تحليل SBOM وكيفية توليد واستضافة sboms من Cloudsmith
  • اقرأ: بعد الاستشارية من فريق Google Open Source Insights

نقاط الاستخدام

يتضمن هذا القسم: سياسات القبول والابتلاع ، والتحقق من وقت السحب والتحقق من المستخدم النهائي.

  • كيفرنو
    • اقرأ: شهود عمليات مسح الصور مع Kyverno
      • و: إدارة سياسات Kyverno كمصنوعات OCI مع مصادر Ocirepository
    • أيضًا: Testifysec/Judge-K8S: دليل على مراقب القبول في مفهوم Kubernetes باستخدام مكتبة التحقق من شاهد الشاهد
  • ckotzbauer/sbom-operator: كتالوج جميع صور مجموعة kubernetes إلى أهداف متعددة مع syft
  • Connaisseur - تحقق من توقيعات صورة الحاوية في Kubernetes
  • Sigstore/سياسة السياسة: مراقب قبول السياسة المستخدمة لفرض السياسة على مجموعة على بيانات تعريف سلسلة التوريد التي يمكن التحقق منها من Cosign.
    • انظر أيضًا: Lukehinds/السياسة-السياسة-ديمو: عرض توقيع بدون مفتاح مع مراقب سياسة Sigstore Kubernetes
  • portieris/policies.md في Main · IBM/Portieris
  • قابلية الاستنساخ/إعادة التكرار: قابلة للتكرار APT/DNF/APK/PACMAN ، مع الإضافة المحتوى
  • KPCYRD/PACMAN-BINTRANS: شفافية ثنائية تجريبية لباكمان مع SIGSTORE و Rekor
    • انظر أيضًا: KPCYRD/APT-SWARR :؟ P2P GOSSIP NETWORD لشفافية التحديث ، استنادًا إلى PGP؟
  • وكيل السياسة المفتوح
  • يسمح Conftest بكتابة اختبارات مقابل بيانات التكوين المنظمة باستخدام لغة استعلام وكيل السياسة المفتوحة: هنا مثال
  • تسمح العديد من السنانير قبل الالتزام بفحص الضعف مباشرة قبل وقت ابتلاع التبعية في قاعدة الشرف
    • على سبيل المثال ، pyupio/السلامة: تتحقق السلامة من التبعيات المثبتة لثغرات الأمن المعروفة
      • أو NPM-Audit
        • انظر أيضًا Snyk-Labs/Snync: تخفيف المخاوف الأمنية لمخاطر أمان سلسلة التوريد التبعية التبعية
        • و lirantal/lockfile-lint: lint an npm أو lockfile الغزل لتحليل واكتشاف مشكلات الأمن
      • أو يتطلب مراقبة تبعياتك
      • أو الماسح الضوئي الأمني ​​Brakeman
      • أو trailofbits/pip-audit: تدقيق بيئات بيثون وأشجار التبعية لنقاط الضعف المعروفة
        • انظر أيضًا: تنبيهات الاعتماد الآن على السطح إذا كان الكود الخاص بك يتصل بالضعف
        • و: استخدام بيانات---metadata (PEP 658) لدلول الدقة من التنزيل بواسطة CONSMICPLORER · طلب سحب #11111 · PYPA/PIP
      • المشروع المتعلق ببيثون المثير للاهتمام: المشروع Thoth ، باستخدام الذكاء الاصطناعي لتحليل وتوصية مداخن البرمجيات لتطبيقات Python
      • أو checkmarx/chainjacking: ابحث عن أي من تبعيات Go Lang Direct Direct عرضة لهجوم السلسلة
      • أو Cargo Vet و CREV-DEV/Cargo-CREV: نظام مراجعة التعليمات البرمجية القابل للتحقق من التشفير لمدير حزمة Cargo (Rust).
      • ليس التحقق الآلي ، ولكن التوجيه الشامل لجافا مع بعض النقاط الهامة المتعلقة بأمان سلسلة التوريد: أفضل ممارسات جافا لمكتبات Java
  • غالبًا ما يتم استخدام التحليل الثابت في هذه المرحلة من أجل اكتشاف اكتساب التبعية ، على سبيل المثال:
    • Semgrep
      • البدء مع سلسلة التوريد Semgrep
      • انظر أيضًا: التقاط نقاط الضعف في الأمن مع Semgrep
    • graudit/التوقيعات في Master · Wireghoul/Graudit
    • Banyanops/Collector: إطار للتحليل الثابت لصور حاوية Docker
    • Quay/Clair: تحليل الثغرات الثابت للحاويات
    • DataDog/GuardDog: GuardDog هي أداة CLI لتحديد حزم PYPI و NPM الضارة
    • Eliasgranderubio/DAGDA: أداة لإجراء تحليل ثابت من نقاط الضعف المعروفة ، وأحصنة طروادة ، وفيروسات ، وبرامج ضارة ، والتهديدات الخبيثة الأخرى في صور/حاويات Docker ومراقبة Docker Damer وتشغيل حاويات Docker للكشف عن الأنشطة الشاذة
      • نصف رائع ، نصف مضحك ، مفيد كامل: KPCYRD/LIBREDEFANDER
    • KICS - الحفاظ على البنية التحتية كرمز آمن
    • Tinkerbell/Lint-install: تثبيت قواعد Linter معقولة لمشاريع المصدر المفتوح
    • قواعد hadolint على تثبيت الحزمة ، على سبيل المثال ، Hadolint/readMe.md على D16F342C8E70FCFFC7A788D122A1BA602075250D · HADOLINT/HADOLINT
      • أيضًا عمليات مسح موارد Dockerfile-Checkov من Bridgecrewio/Checkov: منع عمليات التمييز السحابية أثناء وقت البناء لـ Terraform و CloudFormation و Kubernetes وإطار الخادم وغيرها من اللغات في البنية التحتية مع Checkov من قبل Bridgecrew.
      • :
      • و: AWS-SPAPLES/Automated-Security-Helper1
  • تقييم الضعف | بوابة OpenScap
  • اكتشاف log4shell مع wazuh
  • Aquasecurity/Starboard: Kubernetes Native Security Toolkit
    • ابدأ مع أمان Kubernetes و Starboard
  • ARMOSEC/KUBESCAPE: KUBESCAPE هي أداة K8S مفتوحة المصدر توفر جزءًا فرديًا من الزجاج من K8S ، بما في ذلك تحليل المخاطر ، والامتثال للأمان ، ومرور RBAC ، ومسح ثغرات الصور.
    • أيضًا: امتداد رمز الاستوديو المرئي Kubescape
  • ckotzbauer/pruitability-operator: مسح SBOMs من أجل نقاط الضعف
  • Chen-keinan/Kube-Beacon: Scanner Open Source وقت التشغيل لمجموعة K8S وأداء عمليات تدقيق الأمان بناءً على مواصفات CIS Kubernetes
  • Aquasecurity/Kube-Bench: يتحقق ما إذا كان Kubernetes يتم نشره وفقًا لأفضل الممارسات الأمنية على النحو المحدد في Cis Kubernetes Conshark و Aquasecurity/Kube-Hunter: Hunt للحصول على نقاط الضعف الأمنية في مجموعات Kubernetes
  • OpenClarity/kubeClarity: KubeClarity هي أداة للكشف عن وإدارة فواتير المواد (SBOM) والضعف في صور الحاويات وأنظمة الملفات
  • Stackrox/Stackrox: تقوم منصة أمان Stackrox Kubernetes بإجراء تحليل للمخاطر لبيئة الحاويات ، وتوفر تنبيهات الرؤية وتنبيهات وقت التشغيل ، وتوفر توصيات لتحسين الأمان بشكل استباقي عن طريق تصلب البيئة.
  • CloudQuery/Plugins/Source/K8s/السياسات في Main · CloudQuery/CloudQuery
  • arceslab/kdigger: kubernetes مركزة تقييم الحاويات واكتشاف السياق لاختبار الاختراق
  • Ossillate-inc/packj: أداة الفحص وراء منصة تحليل الأمان واسعة النطاق لدينا للكشف عن حزم Open Source الخبيثة/المحفوفة بالمخاطر و Packj | أداة فحص لتجنب الحزم "المحفوظة"
  • Doowon/Sigtool: Sigtool لملفات PE الموقعة في GO
  • تقديم "Safe NPM" ، ملف المقبس NPM - المقبس
  • تقديم SAFEDEP VET | Safedep

انظر أيضا:

  • تحليل أدوات التحليل/التحليل الثابت: قائمة منسقة من أدوات التحليل الثابت (SAST) لجميع لغات البرمجة وملفات التكوين وأدوات الإنشاء والمزيد.
  • Anderseknert/Awesome-Opa: قائمة منسقة من الأدوات والأطر والمقالات المتعلقة بـ OPA
  • كوكب المشتري/secops-automation-examples: أمثلة حول كيفية الحفاظ على الأمان/الامتثال كرمز وأتمتة secops باستخدام منصة كوكب المشتري.
    • كيف نقوم بإنشاء فاتورة للبرنامج (SBOM) مع Cyclonedx
  • تأمين خطوط أنابيب CICD مع Stackrox / RHACS و SIGSTORE
  • شاهد: هل تثق في مدير الحزمة الخاص بك؟ في مهرجان الأمن 2022

سلسلة التوريد خارج المكتبات

وبعض الأشياء التي يجب مشاهدتها إلى ما وراء المكتبات وتبعيات البرامج:

  • شفافية النظام | بنية الأمن للخوادم المعدنية العارية
  • ملامح المضيف المحاكاة في FWUPD
  • جنوم لتحذير المستخدمين إذا تم تأمين التعطيل ، وإعداد مساعدة أمان البرامج الثابتة الأخرى
  • مشروع حماية الذات kernel - نظام أمن Linux kernel
  • keylime / keylime: مشروع CNCF ل Bootstrap والحفاظ على الثقة على الحافة / السحابة وإنترنت الأشياء
  • ParallaxSecond/Parsec: تجريد منصة لخدمة الأمان
  • TPM Carte Planche مقاومة للحذاء

الهوية والتوقيع والفصل

يتضمن هذا القسم ما يلي: تفاصيل المشاريع والمناقشات لهوية المطور ، OIDC ، Keyrings والمواضيع ذات الصلة.

  • جزء من سيغستور
    • cosign
    • فولسيو
    • ريكور
    • انظر أيضًا: Kubernetes Taps Sigstore لإحباط هجمات سلسلة توريد البرمجيات مفتوحة المصدر
    • عرض سيجستور الخاص بمناظر OpenSSF
  • CAS - CAS Servestation Service
  • شاهد - Testifysec/Witness: الشاهد هو إطار قابلة للتوصيل لإدارة مخاطر سلسلة إمداد البرمجيات. إنه يتم أتمتة مصرفي قطعة أثرية للبرمجيات ، ويقوم بتطبيعها.
    • مشاهدة: تأمين سلسلة التوريد مع الشاهد - كول كينيدي ، Testifysec
    • انظر أيضًا: TestifySec/Go-Ima: Go-Ima هي أداة تتحقق مما إذا كان ملف تم العبث به. إنه مفيد في ضمان النزاهة في أنظمة CI
  • PUERCO/TEJOLOTE: منفذ البناء والمراقب القابل للتكوين المصمم لإنشاء شاهالات مصدر SLSA الموقعة حول عمليات الإنشاء.
  • In-toto-run-Github Marketplace و in-toto/github-action: in-toto perfect action github action
  • توافر عام من المولد العام SLSA3 لإجراءات github
    • SLSA-Framework/SLSA-github-generator: GLANGY-AGNOSTIC SLSA GROANTANCE FOR GITHUB
    • انظر أيضا: صياغة الصياغة | وثائق سلسلة
  • Technosophos/Helm-GPG: توقيع الرسم البياني والتحقق مع GNUPG لـ HELM.
  • CashApp/Pivit هي أداة سطر أوامر لإدارة شهادات X509 المخزنة على البطاقات الذكية مع دعم Applet Piv الذي يتوافق تمامًا مع git
  • CotaryProject/Custary: كاتب العدل هو مشروع يسمح لأي شخص أن يثق في مجموعات تعسفية للبيانات
    • خريطة الطريق/خريطة الطريق: خريطة طريق لـ NotaryV2
    • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
    • notaryproject/tuf: The Update Framework for OCI Registries
      • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
      • Also see How to easily try out TUF + in-toto
      • Check out Python-TUF reaches version 1.0.0
      • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
      • Read: Secure Software Updates via TUF — Part 2
  • deislabs/ratify: Artifact Ratification Framework
  • latchset/tang: Tang binding daemon
  • ietf-rats - Overview
  • An exposed apt signing key and how to improve apt security
  • See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
    • Another witness example with GitLab
  • Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
  • aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
  • Read: Monitoring the kernel.org Transparency Log for a year
  • Also read: Software Distribution Transparency and Auditability
  • paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
    • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
  • johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
  • oras-project/artifacts-spec
  • recipy/recipy: Effortless method to record provenance in Python
  • spiffe/spire: The SPIFFE Runtime Environment
  • Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
  • google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
  • Artifactory - Universal Artifact Management
  • pyrsia/pyrsia: Decentralized Package Network
  • transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
  • Watch: Privacy-preserving Approaches to Transparency Logs

Frameworks and best practice references

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

  • in-toto | A framework to secure the integrity of software supply chains
  • Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
    • Great read: SLSA | CloudSecDocs
    • Another L50 read: Building trust in our software supply chains with SLSA
    • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
      • Also, a framework mapping put together by Red Hat
    • A Practical Guide to the SLSA Framework by FOSSA
    • Read: Securing Gitpod's Software Supply Chain with SLSA
    • Read: A First Step to Attaining SLSA Level 3 on GitHub
    • And a pattern search across GitHub for inspiration (thanks @infernosec)
  • OWASP Application Security Verification Standard, esp. V14 - Configuration
  • OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
  • CREST launches OWASP Verification Standard (OVS)
  • SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
  • SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
    • Related: A MAP for Kubernetes supply chain security
  • Software Supply Chain Risk Management | BSIMM
  • microsoft/scim: Supply Chain Integrity Model
    • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
  • Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
    • Also Comply with NIST's secure software supply chain framework with GitLab
  • The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
  • SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
  • npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
  • CIS Software Supply Chain Security Guide
  • microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
  • GitHub's Implementing software security in open source
  • Previously referenced: Google Best Practices for Java Libraries
  • MITRE's System of Trust
  • Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
  • OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
  • Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

  • Zero Trust the Hard Way, Kelsey Hightower
  • KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
  • Supply Chain Risk Management

Build techniques

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

  • Reproducible Builds, particularly the Documentation
    • rb ecosytem mapping
    • Reproducible Builds / reprotest
    • Is NixOS Reproducible?
  • Bootstrappable Builds (GNU Mes Reference Manual)
    • Also read Bootstrappable builds from LWN
  • tektoncd/chains: Supply Chain Security in Tekton Pipelines
    • Verifiable Supply Chain Metadata for Tekton - CD Foundation
  • google/santa: A binary authorization system for macOS
  • fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
  • kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
    • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
  • kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
  • tag-security/sscsp.md at main · cncf/tag-security
  • defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
  • Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
    • Example using SBOM as an input: Inputs - Hoppr
  • On instrumenting runners:
    • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
    • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
  • reposaur/reposaur: Open source compliance tool for development platforms.
  • buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
  • chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
    • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
  • aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database | أمن أكوا
  • ossf/allstar: GitHub App to set and enforce security policies
  • scribe-public/gitgat: Evaluate source control (GitHub) security posture
  • Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
  • crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
  • wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
  • oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
  • jart/landlock-make: Sandboxing for GNU Make has never been easier
    • Read: Using Landlock to Sandbox GNU Make
  • veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
  • Changelog for Pants 2: The ergonomic build system
  • Bazel is an open source build and test tool similar to Make, Maven, and Gradle
  • GoogleContainerTools/kaniko: Build Container Images In Kubernetes
  • sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
  • buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
  • eellak/build-recorder
    • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

  • The reproducible-builds topic on GitHub
  • Dependency management as part of Google Cloud's Artifact Registry documentation
  • Security hardening for GitHub Actions
    • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
  • Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
  • Code Sight
  • cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
    • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
  • Read: What Makes a Build Reproducible, Part 2
  • Read: Building a Secure Software Supply Chain with GNU Guix
  • alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
  • Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
  • Read: Reproducible Builds: Break a log, good things come in trees
  • Secure Your Software Factory with melange and apko
    • On the apko pattern, see Shopify/hansel
  • kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

Talks, articles, media coverage and other reading

Getting started and staying fresh

  • A few resources, in addition to this repository, that can help keep up with news and announcements:
    • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
    • tl;dr sec Newsletter
    • Past Issues | CloudSecList
    • News - reproducible-builds.org
    • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
    • A visual reference by Enso Security: AppSec Map
    • A similar one: Jetstack | The Software Supply Chain Toolkit
    • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
    • A toolbox for a secure software supply chain from Chainguard
    • The Technology chapter in Snyk's DevSecOps series
    • A helpful list of acronyms: Acronyms | OpenSCAP portal
    • slsa/terminology.md at main · slsa-framework/slsa
    • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
    • Watch: How to start learning about Supply Chain Security
    • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

  • Secure Software Development Fundamentals Courses - Open Source Security Foundation
    • Securing Your Software Supply Chain with Sigstore
  • Census II of Free and Open Source Software — Application Libraries
  • “Chain”ging the Game - how runtime makes your supply chain even more secure
  • How to attack cloud infrastructure via a malicious pull request
  • The Challenges of Securing the Open Source Supply Chain
  • What is a Software Supply Chain Attestation - and why do I need it?
  • Open Policy Agent 2021, Year in Review
  • Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
  • The state of software bill of materials: SBOM growth could bolster software supply chains
  • Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
    • Secure Software Supply Chains
  • A few resources to understand supply chain compromises:
    • Supply Chain Compromise - attackics
    • tag-security/supply-chain-security/compromises at main · cncf/tag-security
    • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
    • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
      • Endor Labs' version: Risk Explorer for Software Supply Chains
      • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
    • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
    • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
    • ossf/oss-compromises: Archive of various open source security compromises
    • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
    • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
    • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects. ردود الفعل مرحبًا!
  • Improving TOFU (trust on first use) With Transparency
  • Reports:
    • 2022 State of Cloud Native Security Report - Palo Alto Networks
    • 2022 Software Supply Chain Security Report • Anchore
  • End-to-end demos and examples:
    • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
    • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
  • Using SARIF to Extend Analysis of SAST Tools
  • GitLab's Software Supply Chain Security section
    • Also read GitLab's Software Supply Chain Security Direction
  • GitHub's SARIF support for code scanning
  • Driving Developer Productivity via Automated Dependency Tracking
  • Code scanning finds more vulnerabilities using machine learning
  • Securing Open Source Software at the Source
  • Security: The Value of SBOMs
  • Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
  • SBOMs in the Windows Supply Chain, from the SPDX User Group
  • Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
  • Binary Authorization for Borg: how Google verifies code provenance and implements code identity
  • Application Security Weekly (Video) on Apple Podcasts
  • How to prioritize the improvement of open source software security
    • And Strengthening digital infrastructure: A policy agenda for free and open source software
  • Software Supply Chain Security Turns to Risk Mitigation
  • Reproducible Builds: Increasing the Integrity of Software Supply Chains
  • sigstore/community: General sigstore community repo
  • CycloneDX Use Cases
    • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
  • Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
  • Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
  • The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
  • Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
  • Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
  • Watch: The state of open source security in 2022 with Kurt Seifried
  • Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
  • EO 14028 and Supply Chain Security
  • Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
  • Open Source Security Foundation (OpenSSF) Security Mobilization Plan
  • Not Just Third Party Risk
  • Open Source Security: How Digital Infrastructure Is Built on a House of Cards
  • Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
  • Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
  • Supply Chain Security for Cloud Native Java (from Thomas Vitale)
  • Podcast: It Depends with Trail of Bits
  • New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
  • Software Supply Chain Primer v0.93 (June 2022)
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل