awesome software supply chain security

Eine Zusammenstellung von Ressourcen in der Software Supply Chain Security -Domäne mit Schwerpunkt auf Open Source.

• Awesome-Software-Supply-Chain-Security
  • Über diese Liste
  • Abhängigkeitsintelligenz
    • SCA und SBOM
    • Anfälligkeitsinformationsaustausch
  • Validierungen des Gebrauchs
    • Lieferkette jenseits der Bibliotheken
  • Identität, Unterzeichnung und Herkunft
  • Frameworks und Best Practice Referenzen
  • Baustechniken
  • Gespräche, Artikel, Medienberichterstattung und andere Lektüre
    • Erste Schritte und frisch bleiben

Es gibt keine vorgeschriebene Taxonomie für diese Domäne. Diese Liste überschneidet sich notwendigerweise mit Disziplinen und Kategorien wie DevSecops, Sast, SCA und mehr.

Das Versorgungskettensynthesis-Repo bietet eine langfristige Lesen darüber, warum dies der Fall ist, sowie hilfreiche Hinweise, um sie zu verstehen und zu navigieren, während es sich weiterentwickelt.

Für awesome-software-supply-chain-security verfolgen wir den folgenden hochrangigen Ansatz: Verschiedene Akteure in der Lieferkette tragen Bescheinigungen zu den in der Kette dargestellten Elementen bei.

In dieser prozessorientierten Ansicht werden Bescheinigungen emittiert , erweitert (z. B. während der Zusammensetzung) und verifiziert .

Eine andere Möglichkeit, dies anzusehen

Mit dieser Linse können wir eine große Gruppe von "Probanden" (Abhängigkeiten), unterschiedliche Kategorien von "Fakten" (Lizenzen oder Schwachstellen) und die spezifische Rolle der Identitäts-, Herkunfts- und Bausysteme identifizieren. Dies ist die Begründung hinter den aktuellen Überschriften, die sich voraussichtlich mit der Domäne weiterentwickeln sollen.

Weitere Beispiele für den laufenden Prozess zur Definition der Domäne sind das Hinzufügen von schlechtem Design als Lieferkettenszenario · Ausgabe #249 · SLSA-Framework/SLSA und wie passt SLSA in eine breitere Sicherheit der Lieferkette? · Ausgabe #276 · SLSA-Framework/SLSA. Schauen Sie sich diesen Tweet von Aeva Black mit Dan Lorenc für einen weiteren In-a-Pinch-Blick auf einige Schlüsselprojekte an.

Dieser Abschnitt enthält: Paketverwaltung, Bibliotheksmanagement, Abhängigkeitsmanagement, mitgelieferte Abhängigkeitsmanagement, Byhash-Suchvorgänge, Paket, Bibliothek und Abhängigkeitsnamen, Kennzeichnung des Bibliotheksverhaltens, Veröffentlichung von Bibliotheken, Registrierungen und Repositories, Publishing-Gates und Scans, Abhängigkeitslebenszyklus.

• Open Source -Erkenntnisse
• GUACSEC/GUAC: GUAC aggregiert Software -Sicherheitsmetadaten in eine Hochschuldatenbank.
• Paket-URL/Purl-Spec: Eine minimale Spezifikation für PURL AKA. Ein Paket "meistens universelle" URL, nehmen Sie an der Diskussion unter https://gitter.im/package-url/lobby teil
• Online -Dienste, die helfen, zu verstehen, was eine bestimmte Abhängigkeit ist , oder zumindest, ob sie bekannt ist (normalerweise füttern Sie sie eine Paketkennung, wie purl , CPE oder eine andere Form des ecosystem:name:version oder alternativ über Hash):
  • NSRL: Hashes for COTS-Software, gut integriert in Tooling von Sleuthkit/HFind bis nsrllllookup
  • Eine Quelle, die über eine öffentliche API (HTTP und DNS!) Abfragt werden kann und Open Source-Awesare ist, ist Circl Hashlookup
  • Repology hat eine legendäre Abdeckung für Linux -Pakete über mehrere Verteilung hinweg. Die Repology-Updater und andere Infrastrukturstücke sind Open Source. Es bietet einen Updater für Wikidata, der auch im Bereich der Lieferkette von Interesse für den Sicherheitsbereich von Supply Chain aufweist.
  • Debians externe Repositories Metadaten
  • Die Bibliotheken von Tidelift.IO bietet eine API und unterstützt über 30 Paketökosysteme (und mehrere nützliche Open -Source -Tools).
  • Der einheitliche Agent von WhiteSource bietet auch einige ausgeklügelte Dateiübereinstimmungsfähigkeiten
  • Das Software Heritage Project verfügt über massive Einnahmefunktionen und bietet eine API, die effizient prüfen kann, ob ein Hash bekannt ist, und bestimmte Informationen zur Datei bereitstellen, wenn ja
    • Siehe auch SWH Scanner CLI
  • Hashdd - bekannte gute kryptografische Hashes
  • Klardefiniert bietet Lizenzinformationen für Open -Source -Komponenten angesichts ihrer Koordinaten
  • LGTM - Code -Analyse -Plattform, um Schwachstellen zu finden und zu verhindern
  • Binärer Transparenzverzeichnis bietet eine API, mit der Pakete nach Hash und anderen Attributen durchsucht werden können
    • Eine irgendwie verwandte Lektüre ist die zweite Hälfte dessen, wie CloudFlare den Code, den WhatsApp -Web dient, den Benutzern überprüft
    • Und SubResource -Integrität
    • Nicht zu verwechseln mit dem legendären Lesen über binäre Transparenz
• Für Eingaben erworbene EG über curl :
  • Spectralops/Preflight: Vor -Flight können Sie Skripte und ausführbare Produkte überprüfen, um die Kette von Angebotsangriffen wie den jüngsten Codecov -Hack zu mildern.
  • Apiario/Curl-Trace-Parser: Parser für die Ausgabe von CURL--TRACE-Option
    • Curl Trace -Begleiter · Ausgabe Nr. 139 · Testifysec/Zeuge
  • Freunde lassen Freunde nicht lockern | Verprügeln
    • Und die ziemlich interessante Verpackung von Curl | Bash und anderen wilden Sachen ermöglichen. von Jordansissel · Anfrage #1957 · Jordansissel/FPM
  • Falco
  • Aquasecurity/Tracee: Linux -Laufzeitsicherheit und Forensik mit EBPF
  • GenuinEtools/Bane: benutzerdefinierte und bessere Apparmor -Profilgenerator für Docker -Container.
  • Container/OCI-SECComp-BPF-Hook: OCI-Haken, um Sympse zu verfolgen und ein SecComp-Profil zu generieren
  • Bottlerocket-Os/Hotdog: Hotdog ist ein Satz von OCI-Hooks, mit denen der log4j Hot Patch in Container injiziert wird.
• Deepfence/ThreatMapper: Open Source Cloud Native Security Observability Platform. Linux, K8S, AWS Fargate und mehr.
• Abhängigkeitskontrolle
• OSSF/Paketanalyse: Open Source-Paketanalyse und OSSF/Paket-Feeds: Feed Parsing für Sprachpaket-Manager-Updates
  • Verwandte: Einführung von Paketanalysen: Scannen von Open Source -Paketen für böswilliges Verhalten
  • Auch Argo Security Automation mit OSS-Fuzz, Verbesserung der Sicherheit durch Fuzz der CNCF-Landschaft und Google/OSS-Fuzz: OSS-Fuzz-Continuous Fuzzing für Open-Source-Software.
  • Und Clusterfuzzlit
  • Für node.js: codeIntelligencetesting/jazzer.js: Berichterstattung, in dem Prozessfuzzing für den Node.js
  • Auch wenn es in den Bereichen der Anwendungsbeobachtbarkeit, Intellabs/Control-Flag wohl eher im Bereich der Anwendungsbeobachtbarkeit ist
• Abhisek/Supply-Chain-Security-Gateway: Referenzarchitektur und Proof of Concept Implementierung für die Sicherheitsgateway für Lieferkette
• CUGU/GOCAP: Listen Sie Ihre Abhängigkeiten auf und überwachen Sie, ob Updates mehr Funktionen erfordern.
• Mate: Interaktive Programmanalyse mit Codeeigenschaftsgraphen und siehe GaloiSinc/Mate: Mate ist eine Reihe von Tools für die interaktive Programmanalyse mit Schwerpunkt auf der Jagd nach Fehler in C- und C ++ - Code unter Verwendung von Codeeigenschaftsgraphen und Dokumenten
• CheckMarx/Chainalert-Github-Action: Scans beliebte Pakete und Warnungen In Fällen besteht der Verdacht auf eine Kontoübernahme
• Open Source Security Foundation (OpenSSF) Alpha-Omega-Projekt
• Socket - Finden und vergleichen Sie Millionen von Open -Source -Paketen, die sich auf JavaScript konzentrieren
• Diffoskop: eingehender Vergleich von Dateien, Archiven und Verzeichnissen
• RedhatProductSecurity/Komponentenregistrierung: Komponentenregistrierung (CORGI) Aggregate Komponentendaten in den von Red Hat unterstützten Produkten, verwalteten Diensten und internen Produktpipeline-Diensten.
• OSS Insight, der von TIDB Cloud betrieben wird, ist ein Insight -Tool, mit dem Sie alle einzelnen Github -Repository/-entwickler eingehend analysieren, zwei Repositorys mit denselben Metriken vergleichen und umfassende, wertvolle und trendige Open -Source -Erkenntnisse bieten können.
• Ankündigung der privaten Beta von Fossa Risk Intelligence
• Aus Projekten | Software Transparency Foundation, siehe OSSKB | Kostenlose Open -Source -Inventarierung
  • Und insbesondere: scanoss.py/package.md bei main · scanoss/scanoss.py
• Artefakt -Hub mit Paket -Sicherheitsbericht und auch mit CoNIGN überprüft
• crt.sh | Zertifikatsuche
• grep.app | Codesuche
• GitHub -Code -Suche
• SearchCode | Quellcode -Suchmaschine
• SourceGraph von SourceGraph
• Onboard Open-Source-Mitwirkende auf Open Source Hub finden Sie im Docker-Slim-Beispiel in Codesee
• Codeprüfung von SNYK
• Einstieg - Fosologie
• CVE-Search/Git-Vuln-Finder: Finden potenzieller Software-Schwachstellen aus Git-Commit-Nachrichten
• Chaoss/Augur: Python -Bibliothek und Webservice für Metriken und Nachhaltigkeitssoftware für Open -Source -Software und Datenerfassung. Hier finden Sie unsere Dokumentation und neuen Beitragsinformationen hier einfach: https://chaoss.github.io/augur/ und erfahren Sie mehr über Augur auf unserer Website https://augurlabs.io
• IBM/CBOM: Kryptographie -Materialrechnung
• AppTheat/Blint: Blint ist ein binärer Linter, um die Sicherheitseigenschaften und die Funktionen in Ihren ausführbaren Funktionen zu überprüfen. Es wird von Lief angetrieben.

Lesen Sie auch:

• Taptuit/Awesome-Devsecops: Kuratieren Sie die besten Ressourcen und Werkzeuge für die Develecops.
• Lesen Sie: Kontur: Ein praktisches System für binäre Transparenz
• Mehrere interessante Konzepte in: Shopify/Seher-Prototyp: Sicherheitsexperte Ermittlung von Risiken

Dieser Abschnitt enthält: Paket-/Bibliothekscanner und Detektoren, SBOM -Formate, Standards, Authoring und Validierung sowie einige Anwendungen. Wird wahrscheinlich SCA einschließen.

Die vollständigste Referenz ist Awesomesbom/Awesome-Bom. Ein weiteres hilfreiches Repo, das sich auf Generatoren konzentriert, ist Cybeats/SBOMGEN: Liste der Tools für die SBOM -Generation.

• Gitbom
  • Außerdem: Git-Bom/Bomsh: Bomsh ist eine Sammlung von Tools, um die Gitbom-Idee zu erkunden
  • Yonhan3/Gitbom-Repo: Ein Repository von Gitbom-Dokumenten für Linux-Binärdateien
  • Hören Sie: Gitbom. Es ist nicht GIT oder SBOM und GITBOM: Git's Graph für die Sicherheit und Transparenz von Supply Chain
  • Siehe auch Bomsage/Vision.md bei Main · DPP/Bomsage und Pkgconf/Main.c bei Master · Pkgconf/Pkgconf (weitere Informationen in diesem Thread)
• NEXB/SCANCODE-TOOLKIT: ScanCode erkennt Lizenzen, Urheberrechte, Paketmanifitionen und Abhängigkeiten und mehr durch Scannen von Code ... um Open Source- und Drittanbieter-Pakete zu entdecken und zu investieren, die in Ihrem Code verwendet werden.
• Die SCA -Tools -Liste von OWASP ist für sich genommen umfassend
• Grafeas: eine Komponentenmetadaten -API
• TrailOfBits/IT-Abhängigkeiten: Ein Tool zum automatischen Erstellen eines Abhängigkeitsgrafik- und Software-Materialiens (SBOM) für Pakete und beliebige Quellcode-Repositories.
• MEND SCA SBOM, MEND BOLT: Finden und beheben Open -Source
  • Renovatebot/Renovate: Universal Dependenty Update Tool, das in Ihre Workflows passt.
    • Lesen Sie auch Anwendungsfälle - renovieren Sie Dokumente
• Jfrog XRAY - Analyse der Universalkomponenten und Containersicherheitsscanning
• Abhängigkeitstrack/Abhängigkeitstrack: Die Abhängigkeitstraße ist eine Plattform für intelligente Komponentenanalyse, mit der Unternehmen das Risiko in der Software-Lieferkette identifizieren und reduzieren können.
  • Gute Lektüre auf Abhängigkeitstraße
• OSS-Review-Toolkit/ORT: Eine Reihe von Tools zur Unterstützung der Überprüfung von Open-Source-Softwareabhängigkeiten.
• Anchore/Syft: CLI -Tool und Bibliothek zur Generierung einer Software -Materialrechnung aus Containerbildern und Dateisystemen aus Software -Sicherheitslösungen für Lieferketten • Anker
  • Hinweis: Der neue Befehl docker sbom erstellt SBOMs mit Syft
  • Erstellen von SBOM -Bescheinigungen mit Syft und Sigstore
  • Einfacher Fluss: Utils/CI/Github/Docker-Build-Sign-SBOM bei Haupt- · Marco-Lancini/Utils
• Ankündigen: Scan befindet sich jetzt im Wartungsmodus · Ausgabe Nr. 352 · Shiftleftsecurity/Sast-Scan
• Containersicherheit | Qualys, Inc.
• Native Sicherheit von Aqua Cloud, Containersicherheit und serverlose Sicherheit
• Tern-Tools/Tern: TERN ist ein Tool für Software-Kompositionsanalyse und eine Python-Bibliothek, die eine Software-Materialrechnung für Containerbilder und Dockerfiles generiert. Die SBOM, die Tern erzeugt, gibt Ihnen eine schichtweise Ansicht über das, was sich in Ihrem Behälter in einer Vielzahl von Formaten befindet, darunter menschlich-lesbar, JSON, HTML, SPDX und mehr.
• Reprodukte/C-SCRM-Use-Case bei Master · RJB4-Standards/Reprodukten aus diesem Tweet
  • Siehe auch Energy SBOM Proof of Concept - Inl
• PR-Aktion analysieren: GitHub-Aktion zur Analyse von Pull-Anfragen für Open-Source-Versorgungskettenprobleme aus Phylum | Das Software Supply Chain Security Company
• Microsoft/Komponentenerkennung: Scans Ihr Projekt, um zu bestimmen, welche Komponenten Sie verwenden
• Zwerg 5 Standard
• Software -Identifikation (SWID) Tagging | CSRC und Richtlinien für die Erstellung interoperabler Software -Identifikations -Tags (SWID)
• Präzise Software -Identifikations -Tags
• Hughsie/Python-USWID: Ein winziges Werkzeug zum Einbetten von Coswid-Tags in EFI-Binärdateien
  • Siehe auch Thread
    • Und praktisches Beispiel im CORBOOT
• Ckotzbauer/SBOM-Operator: Katalog alle Bilder eines Kubernetes-Clusters zu mehreren Zielen mit SYFT
• Sicherheitsproblemverwaltung in der Sicherheit von Dynatrace -Anwendungen
• Defektdojo/Django-DefektDojo: Defektdojo ist ein Tool für DevSecops und Verwundbarkeitsmanagement.
  • Beeindruckende Liste von Integrationen mit Proben: Defektdojo/Beispiel-Scan-Files: Beispiel-Scan-Dateien zum Testen von Defektdojo-Importen
• Swingletree-OSS/Swingletree: Integrieren und beobachten Sie die Ergebnisse Ihrer CI/CD-Pipeline-Tools
• Mercedes -Benz/SECHUB: SECHUB - Eine zentrale und einfache Möglichkeit, verschiedene Sicherheitstools mit einer API/einem Client zu verwenden
• Marcinguy/BetterScan -CE: Code Scanning/Sast/Statische Analyse/Linie mit vielen Tools/Scannern mit einem Bericht (Code, IAC) - BetterScan Community Edition (CE)
• BBVA/SUSTO: Systematische Orchestrierung der universellen Sicherheitstests
• AppTheat/Rosa: Ein Experiment, das bisher sehr vielversprechend aussieht.
• Fossa's SBOM -Lösung
• Rezillion Dynamic SBOM
• OpenSBOM-Generator/SPDX-Bom-Generator: Unterstützen Sie die CI-Generation von SBOMs über Golang-Werkzeug.
• Tauruseers SBOM -Tools
• Soos 'unterstützte Sprachen und Manifests
• Festung: Software -Materialrechnung
• Javixesiz/YASCA: Ein weiteres SCA -Tool
• Cybeats SBOM Studio
• EdgeBitio/EdgeBit-Build: GitHub-Aktion zum Hochladen von SBOMs in EdgeBit und zum Empfang von Sicherheitsanfälligkeitskontext in Ihren Pull-Anfragen von EdgeBit-Echtzeit-Lieferkettensicherheit, mit der Sicherheitsteams ohne Mühe abzielen und die Anfälligkeitsanleihen abzunehmen.
• Rea's Software Assurance Guardian Point Man (SAG-PM)
• Microsoft/SBOM-TOOL: Das SBOM-Tool ist ein hochskalierbares und unternehmungsreiches Tool, um SPDX 2.2 kompatible SBOMs für jede Vielzahl von Artefakten zu erstellen
• Die SCA von Veracode zur automatisierenden Sicherheits -Scanning siehe Demo: So generieren Sie eine Software -Materialrechnung (SBOM) mithilfe der Veracode -Software -Kompositionsanalyse
• Enterprise Edition - Blubracket: Codesicherheit und Geheimkennung
• Software -Kompositionsanalyse (SCA) | Cyberres
• Nexus Intelligence - Sonatyp Data Services
• AppTheat/DEP-Scan: Volles Open-Source-Sicherheitsaudit für Projektabhängigkeiten basierend auf bekannten Schwachstellen und Beratungen. Unterstützt sowohl lokale Repos- als auch Containerbilder. Integriert sich in verschiedene CI -Umgebungen wie Azure -Pipelines, Circleci und Google Cloudbuild. Kein Server erforderlich!
• SBS2001/FATBOM: FATBOM (FAT MATERIALE) ist ein Werkzeug, das das von verschiedenen Werkzeugen erzeugte SBOM zu einem Fett -SBOM kombiniert. So nutzen Sie die Stärke jedes Werkzeugs.
• Sonatyp Bom Doctor
• Jhutchings1/SPDX-zu-Abhängigkeits-Graph-Action: Eine Github-Aktion, die SPDX-SBOMs erfordert und sie in Githubs Abhängigkeitsunterwerfung API für die Leistung von Abhängigkeitswarnungen hochlädt
  • Auch siehe: EVRYFS/SBOM-Abhängigkeits-Submission-Action: Senden Sie SBOMs in Githubs Abhängigkeitsuntersuchungs-API
  • Und die Abhängigkeitsübermittlungsdokumente
• TAP8RY/ORION: Gehen Sie über den Package Manager Discovery für SBOM hinaus
• PATIKSVENSON/COVENANT: Ein Tool zum Generieren von SBOM (Software -Material) aus Quellcode -Artefakten.
• Cyclonedx/cyclonedx-webpack-plugin: Erstellen Sie Cyclonedx-Software-Materialien (SBOM) aus Webpack-Bündeln zur Kompilierungszeit.
• Fortgeschrittene-Security/GH-SBOM: Erzeugen Sie SBOMs mit GH CLI
• Interlynk -io/sbomqs: SBOM -Qualitätsbewertung - Qualitätsmetriken für Ihre SBOMS
• eBay/sbom-scorecard: generieren Sie eine Punktzahl für Ihr SBOM, um zu verstehen, ob dies tatsächlich nützlich ist.

Weitere interessante Ressourcen:

• Brake-Down-Sicherheits-Podcast: 2020-031-Allan Friedman, SBOM, Software-Transparenz und Wissen, wie die Wurst gemacht wird
• Episode 312: Die Legende des SBOM
• Neuinformation Cyber ​​Podcast: LOG4J Schwachstellen bietet harte Lektionen in unbekannten Abhängigkeiten
• Tech Schulden Burndown Podcast Series 1 E11: Allan Friedman und SBOMS
• Sounil Yu auf SBOMs, Software -Sicherheitskettensicherheit - Sicherheitsgespräche
• Sicherheit erforschen. Kritikalität von SBOM. Scott McGregor, Cloud Security, Wind River
• Down the Security Rabbithole Podcast: DTSR Episode 487 - Software Supply Chain ist ein BFD
• Software -Kompositionsanalyse -Podcast: Software Supply Chain - Episode 1
• Kritisches Update: Wissen Sie, was sich in Ihrer Software befindet?
• Software -Materialien | CISA
• SBOM -Anwendungsfall - RKVST und RKVST SBOM HUB - RKVST
  • Lesen Sie auch: SBOM HUB - NTIA -Attribut -Zuordnungen
• BOF: SBOMs für eingebettete Systeme: Was funktioniert, was nicht? - Kate Stewart, Linux Foundation
• Alles über diese Bom
• OWASP Cyclonedx startet SBOM Exchange -API
• Lesen Sie: SBOM Management | Sechs Möglichkeiten, wie es SBOM -Ausbreitung verhindert
• Lesen Sie: NTIA ist die Mindestelemente für eine Software -Materialrechnung
• Lesen Sie: Was kann ein SBOM für Sie tun

Einige Open -Source -Projekte dokumentieren in der Öffentlichkeit, wie sie Abhängigkeiten erwerben. Diese absichtlichen, menschlich-elektrischen Beispiele können veranschaulichend sein:

• Gesandte/Abhängigkeit_Policy.md bei Main · EnvoyProxy/Gesandter
• Was Curl von Abhängigkeiten erwartet
• Sicherheit: Der Wert von SBOMs aus Fluss

• OSV
  • Lesen Sie: SBOM in Aktion: Finden von Schwachstellen mit einem Software -Material -Bill of Materials
  • Verwandte: SPDX/SPDX-to-OSV: Erstellen Sie eine Open-Source-JSON-Datei, die auf Informationen in einem SPDX-Dokument basiert
  • Tools: Google/OSV-SCANNER: Schwachstellenscanner in GO, das die von https://osv.dev bereitgestellten Daten verwendet
• Pipeline der Qualys -Sicherheitsanlehbarkeitserkennung
• Vuls · Agentenloser Schwachstellenscanner für Linux/FreeBSD
• Sicherheitsdatenbank, eine API ist ebenfalls verfügbar. Siehe Vuldb
• AppTheat/Schwachstellen-DB: Sicherheitsdatenbank und Paketsuche nach Quellen wie OSV, NVD, GitHub und NPM.
• Aquasecurity/Trivy: Scanner für Schwachstellen in Containerbildern, Dateisystemen und Git -Repositories sowie für Konfigurationsprobleme
• Sast für Code Sicherheit | Snyk -Code
  • Siehe auch: Open -Source -Bibliotheken aus Snyk auswählen
• Kontrast Community Edition
• Bekanntes ausgebeuteter Schwachstellenkatalog | CISA
• CVE-Search/CVE-Search: CVE-Search-Ein Tool zur Ausführung lokaler Suchanfragen nach bekannten Schwachstellen
• Exein-io/Kepler: CVE-Lookup-Store auf NIST-Basis und API mit Rost angetrieben
• NEXB/GULGERABLECODE: Eine Arbeit in einer kostenlosen und offenen Schwachstellendatenbank und den von ihnen betroffenen Paketen. Und die Werkzeuge, um diese Schwachstellen zu aggregieren und zu korrelieren. Gesponsert von nlnet https://nlnet.nl/project/vulnerabilitydatabase/ für https://www.aboutcode.org/ chat unter https://gitter.im/aboutcode-org/vulnerableCode
• ToolSwatch/VFEED: Die korrelierte CVE -API für Schwachstellen- und Bedrohungsintelligenzdatenbank -Datenbank
• OSSF/SCORECARD: Sicherheits -Scorecards - Sicherheitsmetriken für Open Source, OpenSSF -Metriken und OSSF/Security -Reviews: Eine Community -Sammlung von Sicherheitsüberprüfungen von Open -Source -Softwarekomponenten.
  • OSSF/Scorecard-Action: Offizielle GitHub-Aktion für OSSF-Scorecards.
    • Hinweis: Wie OpenSSF Scorecards GitHub -Aktion V2 Aktion GitHub OIDC mit Sigstore verwendet
  • OpenSSF Security Insights Spec auch
  • Lesen Sie: Wie OpenSSF-Scorecards helfen können, Open-Source-Softwarerisiken zu bewerten
  • Großer Beispiel für das wirkliche Leben: Zustand der Eclipse Foundation Github Repositories
• Lynis - Sicherheitsprüfungs- und Härtungstool für Linux/Unix
• Opfer/Opfer-CVE-DB: CVE-Datenbankspeicher
• Anker/Gremper: Ein Sicherheitsanfälligkeitsscanner für Containerbilder und Dateisysteme
  • Sehen Sie auch die Verwendung von Grtype zur Identifizierung von GitHub -Aktion -Schwachstellen
  • Und auch Grype unterstützt jetzt Cyclonedx- und SPDX -Standards
• GitHub Advisory -Datenbank offen für Community -Beiträge
• Globale Sicherheitsdatenbank Arbeitsgruppe | CSA, siehe auch CloudecurityAlliance/GSD-Datenbank: Globale Sicherheitsdatenbank
• Trickest/CVE: Sammeln und aktualisieren Sie alle verfügbaren und neuesten CVEs mit ihrem POC.
• RFC 9116: Ein Dateiformat zur Unterstützung der Offenlegung von Sicherheitsanfälligkeit
• Ein AOSP-Vuln-to-Commit
  • Verwundbarkeitsdatensatz auf Niveau
• NYPH-INFOSEC/DAGGEBROARD
• Davideshay/Vulnscan: Sicherheitsscanner -Suite basierend auf Grype und Syft From Anchore
• DevOps-Kung-Fu/Bomber: Scans SBOMs nach Sicherheitslücken
• Festung: Verwundbarkeitsmanagement
• Verwundbarkeitsmanagement | Adolus
• Secvisogram/Secvisogram: Secvisogram ist ein Web -Tool zum Erstellen und Bearbeiten von Sicherheitsberatungen im CSAF 2.0 -Format
• Future-Architect/Vuls: Agenten ohne Schwachstellenscanner für Linux, FreeBSD, Container, WordPress, Programmiersprachenbibliotheken, Netzwerkgeräte
• Infobyte/Faraday: Open -Source -Plattform zur Verwundbarkeitsmanagement von Faraday - Community V4 Release
• Gehrung/SAF: Die Befehlszeilenschnittstelle (Gehrers Security Automation Framework) vereint Anwendungen, Techniken, Bibliotheken und Tools
• DevOps-Kung-Fu/Bomber: Scans Software-Materialsrechnung (SBOMS) für Sicherheitsanfälligkeiten
• Rezilion/Mi-X: Stellen Sie fest, ob Ihr Rechen wirklich anfällig für eine spezifische Anfälligkeit ist, indem Sie alle Faktoren berücksichtigen, die die tatsächliche Ausbeugung beeinflussen (Laufzeitausführung, Konfiguration, Berechtigungen, Existenz einer Minderung, Betriebssystem usw.)
• OSSF-CVE-Benchmark/OSSF-CVE-Benchmark: Der OpenSSF CVE-Benchmark besteht aus Code und Metadaten für über 200 reale CVEs sowie Werkzeuge zur Analyse der gefährdeten Codebasen mithilfe einer Vielzahl von SAST-Tools (STATIC-Analyse-Sicherheitstests) und Berichten, um diese Tools zu bewerten.
• In den Integrationsbeispielen in Container -Szenarien finden Sie das Verwundbarkeitsmanagement in den Dokumenten Neuvektors.
• NOQCKS/XEOL: Ein Paketscanner (End-of-Life) für Containerbilder, Systeme und SBOMs
• MCHMARNY/VIMM: Vergleichen Sie Daten mehrerer Schwachstellenscanner, um ein vollständigeres Bild von potenziellen Expositionen zu erhalten.

Ein dedizierter Abschnitt über Vex liest:

• Cyclonedx - Exploitability Exchange (VEX)
  • Exploitability Exchange für Verwundbarkeit erklärt: Wie ärgerlich SBOMs umsetzbar macht
  • Wie Vex SBOM+SLSA hilft, die Sichtbarkeit der Lieferkette zu verbessern | Google Cloud Blog
  • Was ist Vex und was hat es mit SBOMs zu tun?
  • Was ist ärgerlich? Es ist der Ausbeutbarkeitsaustausch der Verwundbarkeit!
  • Der VEX -Standard (Vulnerability Exploitability Exchange)
  • Vex und Sboms
  • VDR oder VEX - Was benutze ich? Teil 1
  • ÄRGERN! Oder ... wie man CVE -Rauschen mit einem einfachen Trick reduziert! von Frederick Kautz
  • VEX (VEX) - Status -Rechtfertigungen für Verwundbarkeitsausbeugung (VEX)
• Echtzeit-Vex

Auch siehe:

• Vulncode-DB auf Ablehnungspfad
• Github bringt die Sicherheitsfunktionen der Lieferkette in die Rust -Community mit
• Cycognito übernimmt die Kartierung von att & CK, um den Aufprall zu besiegen
• Lesen Sie: Ein genauerer Blick auf die CVSS -Ergebnisse, Patch -Madness: Anbieter -Bug -Advisorien sind gebrochen, also kaputt und ein unvollständiger Blick auf Schwachstellendatenbanken und Bewertungsmethoden
• Lesen Sie: So analysieren Sie einen SBOM und wie man SBOMs aus Cloudsmith generiert und veranstaltet
• Lesen Sie: Nach dem Hinweis aus Googles Open Source Insights -Team

Dieser Abschnitt enthält: Aufnahme- und Aufnahmepolitik, Pull-Time-Überprüfung und Endbenutzerüberprüfungen.

• Kyverno
  • Lesen Sie: Bezeugen Sie Bildscans mit Kyverno
    • Und: Verwalten von Kyverno -Richtlinien als OCI -Artefakte mit Ocirepository -Quellen
  • Außerdem: Testifysec/Judge-K8S: Proof of Concept Kubernetes Zulassungskontroller unter Verwendung der Zeugenbescheinigungsbescheinigungsverifizierungsbibliothek
• Ckotzbauer/SBOM-Operator: Katalog alle Bilder eines Kubernetes-Clusters zu mehreren Zielen mit SYFT
• Connaisseur - Überprüfen Sie die Containerbildsignaturen in Kubernetes
• Sigstore/Policy-Controller: Der Richtlinien-Zulassungs-Controller, der zur Durchsetzung von Richtlinien für einen Cluster über nachprüfbare Versorgungsketten-Metadaten von CoSIGN verwendet wird.
  • Siehe auch: Lukehinds/Policy-Controller-Demo: Demo der keylosen Unterzeichnung mit dem Sigstore Kubernetes Policy Controller
• Portieris/Policies.md bei Main · IBM/Portieris
• Reproduzierbare Container/Repro-Get: Reproduzierbares APT/DNF/APK/PACMAN, mit Inhaltsadressierung
• KPCYRD/PACMAN-BINTRANS: Experimentelle binäre Transparenz für Pacman mit Sigstore und Rekor
  • Siehe auch: KPCYRD/APT-SWARM :? P2P -Klatsch -Netzwerk für die Aktualisierung der Transparenz, basierend auf PGP?
• Open Policy Agent
• ConfTest ermöglicht es, Tests gegen strukturierte Konfigurationsdaten mithilfe der Abfragesprache Open Policy Agent Rego zu schreiben: Hier ist ein Beispiel
• In mehreren Vorkommiten ermöglichen die Überprüfung der Verwundbarkeit kurz vor der Aufnahmezeit der Abhängigkeit in die Codebasis
  • z. B. Pyupio/Sicherheit: Sicherheit prüft Ihre installierten Abhängigkeiten auf bekannte Sicherheitslücken
    • Oder NPM-ADIT
      • Siehe auch Snyk-Labs/Snync: Minderstöckchen von Sicherheitsbedenken hinsichtlich der Sicherheitsrisiken der Abhängigkeit Verwirrung Lieferkette
      • Und Lirantal/Lockfile-Lint: FININT ANPM- oder Garn-Lockfile, um Sicherheitsprobleme zu analysieren und zu erkennen
    • Oder erfordert.io | Überwachen Sie Ihre Abhängigkeiten
    • Oder Bremser -Sicherheitsscanner
    • Oder Trailofbits/PIP-ADIT: Audits Python-Umgebungen und Abhängigkeitsbäume für bekannte Schwachstellen
      • Siehe auch: DevelaboBot -Warnungen jetzt tauchen jetzt auf, wenn Ihr Code eine Sicherheitsanfälligkeit aufruft
      • Und: Verwenden Sie die Data-Dist-Info-Metadata (PEP 658), um die Auflösung vom Herunterladen durch Cosmicexplorer zu entkoppeln.
    • Interessantes Python-bezogenes Projekt: Projekt Thoth, verwendete künstliche Intelligenz, um Software-Stapel für Python-Anwendungen zu analysieren und zu empfehlen
    • Oder checkMarx/chainjacking: Finden Sie heraus, welche Ihrer Direkt -Github -Abhängigkeiten anfällig für Kettenjacking -Angriffe sind
    • Oder Cargo-Tierarzt und Crev-Dev/Cargo-Crev: Ein kryptografisch überprüfbares Code-Überprüfungssystem für den Fracht-Paketmanager (Rust).
    • Nicht automatisierte Validierung, sondern umfassende Leitlinien für Java mit einigen kritischen Punkten in Bezug auf die Sicherheit der Lieferkette: Google Best Practices für Java -Bibliotheken
• Die statische Analyse wird in diesem Stadium häufig verwendet, um die Abhängigkeitserfassung zu erfassen, z. B.:
  • Semgrep
    • Erste Schritte mit der Semgrep -Lieferkette
    • Siehe auch: Sicherheitslücken mit Semgrep aufnehmen
  • Graudit/Unterschriften bei Master · Wirghoul/Graudit
  • Banyanops/Sammler: Ein Rahmen für die statische Analyse von Docker -Containerbildern
  • Quay/Clair: statische Analyse der Verwundbarkeit für Container
  • Datadog/Guarddog: Guarddog ist ein CLI -Tool, um böswillige PYPI- und NPM -Pakete zu identifizieren
  • Eliasgranderubio/Dagda: Ein Tool zur statischen Analyse bekannter Schwachstellen, Trojaner, Viren, Malware und anderen böswilligen Bedrohungen in Docker -Bildern/-Containern und zur Überwachung des Docker -Daemons und der laufenden Docker -Container zur Erkennung von anomalen Aktivitäten
    • Halb brillant, halb lustig, voll hilfsbereit: KPCYRD/Libredefender: Stellen Sie sich vor, die Richtlinie zur Einhaltung der Informationssicherheit sagt, dass Sie ein Antivirus benötigen, aber Sie führen Arch Linux aus
  • KICS - Infrastruktur als sicher halten
  • Tinkerbell/Lint-Installation: Installieren Sie durchweg angemessene Vorliegerregeln für Open-Source-Projekte
  • hadolint -Regeln für die Paketinstallation, z.
    • Auch DockerFile-Ressourcen-Scans-Checkov von BridgeCrewio/Checkov: Verhindern Sie die Fehlkonfigurationen von Cloud während der Build-Zeit für Terraform, CloudFormation, Kubernetes, Serverless Framework und andere Infrastruktur-As-Code-Sprachen mit Checkov von Bridgecrew.
    • Und: XLab-Si/IAC-Scan-Runner: Service, der Ihre Infrastruktur als Code für gemeinsame Schwachstellen scannt
    • Und: AWS-Samples/automatisierte Sicherheits-Helper1
• Sicherheitsbewertung | OpenScap -Portal
• Log4Shell mit Wazuh erkennen
• Aquasecurity/Steuerbord: Kubernetes-Native Security Toolkit
  • Beginnen Sie mit Kubernetes Security und Steuerbord
• Armosec/Kubescape: Kubescape ist ein K8s Open-Source-Tool, das einen Multi-Cloud-K8s-Einzelscheibe mit Glasanalyse, Sicherheitsvorschriften, RBAC-Visualizer und Bildanfälligkeitsanfälligkeiten mit Risikoanalysen bietet.
  • Auch: Kubescape Visual Studio Codeerweiterung
• Ckotzbauer/Verwundbarkeit-Operator: Scans SBOMs nach Sicherheitslücken
• Chen-Keinan/Kube-Beacon: Open Source Runtime Scanner für K8S-Cluster und Durchführung von Sicherheitsaudit-Überprüfungen basierend auf der CIS Kubernetes-Benchmark-Spezifikation
• Aquasecurity/Kube-Bench: Überprüft, ob Kubernetes nach Best Practices der Sicherheits-Bestätigung im CIS Kubernetes-Benchmark und der Aquasecurity/Kube-Hunter definiert wird: Jagd nach Sicherheitsschwächen in Kubernetes-Cluster
• OpenClarity/Kubeclarity: Kubeclarity ist ein Instrument zur Erkennung und Verwaltung von Materialien (SBOM) und Schwachstellen von Containerbildern und Dateisystemen
• Stackrox/Stackrox: Die Stackrox Kubernetes -Sicherheitsplattform führt eine Risikoanalyse der Containerumgebung durch, bietet Sichtbarkeits- und Laufzeitalarme und gibt Empfehlungen zur proaktiven Verbesserung der Sicherheit durch Verhärten der Umwelt.
• CloudQuery/Plugins/Source/K8S/Richtlinien bei Hauptsachen · CloudQuery/CloudQuery
• QuarkSlab/KDigger: Kubernetes -Fokussierte -Container -Bewertung und Kontextentdeckungsinstrument für Penetrationstests
• Ossillate-Inc/Packj: Das Überprüfungswerkzeug hinter unserer groß angelegten Sicherheitsanalyseplattform zur Erkennung böswilliger/riskanter Open-Source-Pakete und Packj | Ein Überprüfungswerkzeug, um "riskante" Pakete zu vermeiden
• Doowon/Sigtool: Sigtool für signierte PE -Dateien in Go
• Einführung "Safe NPM", ein Socket NPM -Wrapper - Socket
• Einführung des Safedep -Tierarztes | Safedep

Auch siehe:

• Analyse-Tools-dev/statische Analyse: Eine kuratierte Liste der SAST-Tools (STatic Analysis) für alle Programmiersprachen, Konfigurationsdateien, Build-Tools und mehr.
• Anderseknert/Awesome-opa: Eine kuratierte Liste von OPA-verwandten Tools, Frameworks und Artikeln
• Jupiterone/Secops-Automation-Examples: Beispiele zur Aufrechterhaltung der Sicherheit/Konformität als Code und zur Automatisierung von SECOPS mithilfe der Jupiterone-Plattform.
  • Wie wir eine Software -Materialrechnung (SBOM) mit Cyclonedx generieren
• Sicherung von CICD -Pipelines mit Stackrox / RHACs und Sigstore
• WATCH: Vertrauen Sie Ihrem Paketmanager? auf dem Sicherheitsfest 2022

Und ein paar Dinge, die über Bibliotheken und Softwareabhängigkeiten hinausgehen müssen:

• Systemtransparenz | Sicherheitsarchitektur für backmetalische Server
• Emulierte Wirtsprofile in FWUPD
• GNOME, um Benutzer zu warnen, wenn sich sicherer Boot deaktiviert und andere Firmware -Sicherheitshilfe vorbereiten
• Kernel Self Protection Project - Linux -Kernel -Sicherheits -Subsystem
• Keylime / Keylime: Ein CNCF
• Parallaxecond/Parsec: Plattformabstraktion für den Sicherheitsdienst
• TPM Carte Blanche-resistente Startbefeinigung

Dieser Abschnitt enthält: Projekte und Diskussionspezifikationen für Entwickleridentität, OIDC, Keyrings und verwandte Themen.

• Teil von Sigstore
  • Cosign
  • Fulcio
  • Rekor
  • Siehe auch: Kubernetes taps Sigstore, um Open-Source-Software-Supply-Chain-Angriffe zu vereiteln
  • Sigstore-spezifische Sicht auf die OpenSSF-Landschaft
• CAS - CAS BEALTUNGSUNG
• Zeugen - Testifysec/Zeuge: Zeuge ist ein steckbarer Rahmen für das Risikomanagement von Software -Lieferketten. Es automatisiert, normalisiert und überprüft Software -Artefaktproduktion.
  • Uhr: Sicherung der Lieferkette mit Zeugen - Cole Kennedy, Testifysec
  • Siehe auch: testifysec/go-IMA: Go-IMA ist ein Tool, das überprüft, ob eine Datei manipuliert wurde. Es ist nützlich, um die Integrität in CI -Systemen sicherzustellen
• Puerco/Tejolote: Ein hochkonfigurierbarer Build -Executor und Beobachter, der signierte SLSA -Provenienzbescheinigungen über Build -Läufe generieren soll.
• In-Toto-Run-GitHub Marketplace und In-Toto/Github-Action: In-Toto-Provenienz-Github-Aktion
• Allgemeine Verfügbarkeit von SLSA3 -Generikalgenerator für GitHub -Aktionen
  • SLSA-Framework/SLSA-Github-Generator: Sprach-Agnostische SLSA-Herkunftsgenerierung für Github-Aktionen
  • Auch siehe: Bescheinigungsbescheinigung | Kettenloop -Dokumentation
• Technosophos/Helm-GPG: Diagrammsignierung und Überprüfung mit GNUPG für Helm.
• CashApp/Pivit ist ein Befehlszeilen -Tool zum Verwalten von X509 -Zertifikaten, die auf Smartcards mit PIV -Applet -Support gespeichert sind, der vollständig mit git kompatibel ist
• NotaryProject/Notar
  • NotaryProject/Roadmap: Roadmap für NotaryV2
  • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
  • notaryproject/tuf: The Update Framework for OCI Registries
    • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
    • Also see How to easily try out TUF + in-toto
    • Check out Python-TUF reaches version 1.0.0
    • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
    • Read: Secure Software Updates via TUF — Part 2
• deislabs/ratify: Artifact Ratification Framework
• latchset/tang: Tang binding daemon
• ietf-rats - Overview
• An exposed apt signing key and how to improve apt security
• See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
  • Another witness example with GitLab
• Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
• aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
• Read: Monitoring the kernel.org Transparency Log for a year
• Also read: Software Distribution Transparency and Auditability
• paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
  • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
• johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
• oras-project/artifacts-spec
• recipy/recipy: Effortless method to record provenance in Python
• spiffe/spire: The SPIFFE Runtime Environment
• Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
• google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
• Artifactory - Universal Artifact Management
• pyrsia/pyrsia: Decentralized Package Network
• transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
• Watch: Privacy-preserving Approaches to Transparency Logs

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

• in-toto | A framework to secure the integrity of software supply chains
• Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
  • Great read: SLSA | CloudSecDocs
  • Another L50 read: Building trust in our software supply chains with SLSA
  • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
    • Also, a framework mapping put together by Red Hat
  • A Practical Guide to the SLSA Framework by FOSSA
  • Read: Securing Gitpod's Software Supply Chain with SLSA
  • Read: A First Step to Attaining SLSA Level 3 on GitHub
  • And a pattern search across GitHub for inspiration (thanks @infernosec)
• OWASP Application Security Verification Standard, esp. V14 - Configuration
• OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
• CREST launches OWASP Verification Standard (OVS)
• SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
• SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
  • Related: A MAP for Kubernetes supply chain security
• Software Supply Chain Risk Management | BSIMM
• microsoft/scim: Supply Chain Integrity Model
  • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
• Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
  • Also Comply with NIST's secure software supply chain framework with GitLab
• The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
• SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
• npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
• CIS Software Supply Chain Security Guide
• microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
• GitHub's Implementing software security in open source
• Previously referenced: Google Best Practices for Java Libraries
• MITRE's System of Trust
• Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
• OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
• Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

• Zero Trust the Hard Way, Kelsey Hightower
• KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
• Supply Chain Risk Management

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

• Reproducible Builds, particularly the Documentation
  • rb ecosytem mapping
  • Reproducible Builds / reprotest
  • Is NixOS Reproducible?
• Bootstrappable Builds (GNU Mes Reference Manual)
  • Also read Bootstrappable builds from LWN
• tektoncd/chains: Supply Chain Security in Tekton Pipelines
  • Verifiable Supply Chain Metadata for Tekton - CD Foundation
• google/santa: A binary authorization system for macOS
• fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
• kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
  • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
• kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
• tag-security/sscsp.md at main · cncf/tag-security
• defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
• Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
  • Example using SBOM as an input: Inputs - Hoppr
• On instrumenting runners:
  • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
  • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
• reposaur/reposaur: Open source compliance tool for development platforms.
• buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
• chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
  • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
• aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database | Aqua Security
• ossf/allstar: GitHub App to set and enforce security policies
• scribe-public/gitgat: Evaluate source control (GitHub) security posture
• Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
• crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
• wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
• oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
• jart/landlock-make: Sandboxing for GNU Make has never been easier
  • Read: Using Landlock to Sandbox GNU Make
• veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
• Changelog for Pants 2: The ergonomic build system
• Bazel is an open source build and test tool similar to Make, Maven, and Gradle
• GoogleContainerTools/kaniko: Build Container Images In Kubernetes
• sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
• buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
• eellak/build-recorder
  • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

• The reproducible-builds topic on GitHub
• Dependency management as part of Google Cloud's Artifact Registry documentation
• Security hardening for GitHub Actions
  • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
• Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
• Code Sight
• cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
  • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
• Read: What Makes a Build Reproducible, Part 2
• Read: Building a Secure Software Supply Chain with GNU Guix
• alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
• Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
• Read: Reproducible Builds: Break a log, good things come in trees
• Secure Your Software Factory with melange and apko
  • On the apko pattern, see Shopify/hansel
• kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

• A few resources, in addition to this repository, that can help keep up with news and announcements:
  • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
  • tl;dr sec Newsletter
  • Past Issues | CloudSecList
  • News - reproducible-builds.org
  • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
  • A visual reference by Enso Security: AppSec Map
  • A similar one: Jetstack | The Software Supply Chain Toolkit
  • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
  • A toolbox for a secure software supply chain from Chainguard
  • The Technology chapter in Snyk's DevSecOps series
  • A helpful list of acronyms: Acronyms | OpenSCAP portal
  • slsa/terminology.md at main · slsa-framework/slsa
  • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
  • Watch: How to start learning about Supply Chain Security
  • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

• Secure Software Development Fundamentals Courses - Open Source Security Foundation
  • Securing Your Software Supply Chain with Sigstore
• Census II of Free and Open Source Software — Application Libraries
• “Chain”ging the Game - how runtime makes your supply chain even more secure
• How to attack cloud infrastructure via a malicious pull request
• The Challenges of Securing the Open Source Supply Chain
• What is a Software Supply Chain Attestation - and why do I need it?
• Open Policy Agent 2021, Year in Review
• Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
• The state of software bill of materials: SBOM growth could bolster software supply chains
• Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
  • Secure Software Supply Chains
• A few resources to understand supply chain compromises:
  • Supply Chain Compromise - attackics
  • tag-security/supply-chain-security/compromises at main · cncf/tag-security
  • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
  • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
    • Endor Labs' version: Risk Explorer for Software Supply Chains
    • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
  • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
  • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
  • ossf/oss-compromises: Archive of various open source security compromises
  • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
  • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
  • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects. Feedback Willkommen!
• Improving TOFU (trust on first use) With Transparency
• Reports:
  • 2022 State of Cloud Native Security Report - Palo Alto Networks
  • 2022 Software Supply Chain Security Report • Anchore
• End-to-end demos and examples:
  • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
  • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
• Using SARIF to Extend Analysis of SAST Tools
• GitLab's Software Supply Chain Security section
  • Also read GitLab's Software Supply Chain Security Direction
• GitHub's SARIF support for code scanning
• Driving Developer Productivity via Automated Dependency Tracking
• Code scanning finds more vulnerabilities using machine learning
• Securing Open Source Software at the Source
• Security: The Value of SBOMs
• Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
• SBOMs in the Windows Supply Chain, from the SPDX User Group
• Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
• Binary Authorization for Borg: how Google verifies code provenance and implements code identity
• Application Security Weekly (Video) on Apple Podcasts
• How to prioritize the improvement of open source software security
  • And Strengthening digital infrastructure: A policy agenda for free and open source software
• Software Supply Chain Security Turns to Risk Mitigation
• Reproducible Builds: Increasing the Integrity of Software Supply Chains
• sigstore/community: General sigstore community repo
• CycloneDX Use Cases
  • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
• Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
• Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
• The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
• Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
• Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
• Watch: The state of open source security in 2022 with Kurt Seifried
• Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
• EO 14028 and Supply Chain Security
• Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
• Open Source Security Foundation (OpenSSF) Security Mobilization Plan
• Not Just Third Party Risk
• Open Source Security: How Digital Infrastructure Is Built on a House of Cards
• Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
• Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
• Supply Chain Security for Cloud Native Java (from Thomas Vitale)
• Podcast: It Depends with Trail of Bits
• New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
• Software Supply Chain Primer v0.93 (June 2022)