Inicio>código fuente JSP>Otras categorias
Descargar

Increíble-sofás de la cadena

Una compilación de recursos en el dominio de seguridad de la cadena de suministro de software, con énfasis en el código abierto.

  • Increíble-sofás de la cadena
    • Sobre esta lista
    • Inteligencia de dependencia
      • SCA y SBOM
      • Intercambio de información de vulnerabilidad
    • Validaciones de punto de uso
      • Cadena de suministro más allá de las bibliotecas
    • Identidad, firma y procedencia
    • Marcos y referencias de mejores prácticas
    • Técnicas de construcción
    • Charlas, artículos, cobertura de medios y otras lecturas
      • Comenzar y mantenerse fresco

Sobre esta lista

No hay taxonomía prescrita para este dominio. Esta lista necesariamente tendrá una superposición con disciplinas y categorías como DevSecops, SAST, SCA y más.

El repos de síntesis de la cadena de suministro ofrece una lectura de forma larga sobre por qué ese es el caso, además de consejos útiles para comprenderlo y navegarlo a medida que evoluciona.

Para awesome-software-supply-chain-security adoptamos el siguiente enfoque de alto nivel: los diferentes actores en la cadena de suministro contribuyen con los elementos a los elementos representados en la cadena.

En esta opinión centrada en el proceso, se emiten , aumentan , aumentan (por ejemplo, durante la composición) y se verifica .

Josh Bressers describió otra forma de ver esto, y aquí hay un ejemplo narrativo en la naturaleza de Spotify

Usando esta lente, podemos identificar un gran grupo de "sujetos" (dependencias), categorías distintas de "hechos" (licencias o vulnerabilidades) y el papel específico de los sistemas de identidad, procedencia y construcción. Esta es la justificación detrás de los encabezados actuales, que se espera que evolucionen con el dominio.

Otros ejemplos del proceso en curso para definir el dominio incluyen Agregar diseño malo como escenario de cadena de suministro · Problema #249 · SLSA-Framework/SLSA y ¿cómo encaja SLSA en una seguridad más amplia de la cadena de suministro? · Problema #276 · SLSA-Framework/SLSA. Echa un vistazo a este tweet de AEVA Black con Dan Lorenc para otra vista en el pinch de un par de proyectos clave.

Inteligencia de dependencia

Esta sección incluye: gestión de paquetes, gestión de bibliotecas, gestión de dependencias, gestión de dependencias con proveedores, búsquedas de parcialidad, paquetes, nombres de biblioteca y dependencia, etiquetado de comportamiento de la biblioteca, publicación de biblioteca, registros y repositorios, puertas de publicación y escaneos, ciclo de vida de dependencia.

  • Insights de código abierto
  • GUACSEC/GUAC: GUAC Agrega metadatos de seguridad de software en una base de datos de gráficos de alta fidelidad.
  • paquete-url/purl-especificación: una especificación mínima para PURL AKA. Un paquete URL "en su mayoría universal", únase a la discusión en https://gitter.im/package-url/lobby
  • Los servicios en línea que ayudan a comprender qué es una dependencia específica, o al menos si se sabe (generalmente alimentarlo con un identificador de paquete, como purl , CPE u otra forma de ecosystem:name:version o alternativamente a través de hash):
    • NSRL: Software Cots, bien integrado en herramientas desde Sleuthkit/Hfind a NSRLLOOCUP
    • Una fuente que se puede consultar a través de una API pública (¡HTTP y DNS!) Y puede ser más abierta, es consciente de CIRCL Hashlookup
    • Repology tiene una cobertura legendaria para paquetes de Linux en múltiples distribución; Su réplica y otras piezas de infraestructura son de código abierto. Proporciona un actualizador de Wikidata que también tiene propiedades de interés para el dominio de seguridad de la cadena de suministro.
    • Metadatos de repositorios externos de Debian
    • TidElift's Biblioteca.io proporciona una API y admite más de 30 ecosistemas de paquetes (y varias herramientas de código abierto útiles)
    • El agente unificado de Whitesurce también ofrece algunas habilidades sofisticadas de coincidencia de archivos
    • El proyecto de patrimonio de software tiene capacidades de ingestión masivas y ofrece una API que puede verificar de manera eficiente si se conoce un hash y proporcionar cierta información sobre el archivo.
      • Ver también CLI del escáner SWH
    • Hashdd - conocidos buenos hashes criptográficos
    • Claramente definido proporciona información de licencia para componentes de código abierto, dadas sus coordenadas
    • LGTM: la plataforma de análisis de código para encontrar y prevenir las vulnerabilidades permite la búsqueda manualmente por repo GitHub
    • El directorio de transparencia binaria ofrece una API que permite buscar paquetes por hash y otros atributos
      • Una lectura relacionada de alguna manera es la segunda mitad de cómo CloudFlare verifica el código que WhatsApp Web sirve a los usuarios
      • E integridad del subconocimiento
      • No debe confundirse con la lectura legendaria sobre la transparencia binaria
  • Para entradas adquiridas, por ejemplo, a través de curl :
    • SpectRALOPS/Preflight: Preflight lo ayuda a verificar scripts y ejecutables para mitigar la cadena de ataques de suministro, como el reciente hack de CodeCov.
    • APIARIO/CURL-TRACE-PARSER: PARSER PARA SALIDA DEL OPCIÓN DE CURL-Trace
      • Curl Trace Atester · Problema #139 · testifysec/testigo
    • Los amigos no dejan que los amigos se curvan | Intento
      • Y el empaquetado bastante interesante de curl | Bash y otras cosas salvajes. por Jordansissel · Solicitud de extracción #1957 · Jordansissel/FPM
    • Falco
    • Aquasecurity/Tracee: Linux Runtime Security and Forensics usando EBPF
    • GenuInetOols/Bane: generador de perfil de Apparmor personalizado y mejor para contenedores Docker.
    • Contenedores/OCI-Seccomp-BPF-Hook: Hook OCI para rastrear Syscalls y generar un perfil SECComps
    • Bottlerocket-OS/HotDog: HotDog es un conjunto de ganchos OCI que se utilizan para inyectar el parche Hot Log4J en contenedores.
  • Deepfence/amenazmapper: plataforma de observabilidad de seguridad nativa de código abierto en la nube. Linux, K8s, AWS Fargate y más.
  • comprobar la dependencia
  • OSSF/Análisis de paquete: análisis de paquetes de código abierto y OSSF/paquetes de comida: análisis de alimentación para actualizaciones de Administrador de paquetes de idiomas
    • Relacionado: Introducción de análisis de paquetes: escaneo de paquetes de código abierto para comportamiento malicioso
    • También la automatización de seguridad de Argo con OSS-Fuzz, mejorando la seguridad al borrar el panorama CNCF y Google/OSS-Fuzz: OSS-Fuzz-Fuzzing continuo para el software de código abierto.
    • Y clusterfuzzlite
    • Para Node.js: CodeIntelligenceTesting/Jazzer.js: Cobertura, guiada por el proceso, en proceso para el node.js
    • Además, aunque podría decirse que más en el ámbito de la observabilidad de la aplicación, Intellabs/Control-Flag: un sistema para marcar las expresiones de código fuente anómalos aprendiendo expresiones típicas de los datos de capacitación
  • Abhisek/Supply-Cain-Security-Gateway: Arquitectura de referencia e implementación de prueba de concepto para la puerta de enlace de seguridad de la cadena de suministro
  • CUGU/GOCAP: enumere sus capacidades de dependencias y monitoree si las actualizaciones requieren más capacidades.
  • Mate: Análisis de programas interactivos con gráficos de propiedades de código y ver Galoisinc/Mate: Mate es un conjunto de herramientas para el análisis de programas interactivos con un enfoque en la búsqueda de errores en el código C y C ++ utilizando gráficos de propiedades de código y documentos
  • Checkmarx/chainalert-github-acción: escaneos paquetes y alertas populares en los casos hay sospecha de una toma de cuenta de una cuenta
  • Proyecto Alpha-Omega Foundation de seguridad de código abierto (OpenSSF)
  • Socket: encuentre y compare millones de paquetes de código abierto, centrados en JavaScript
  • Diffoscopio: comparación en profundidad de archivos, archivos y directorios
  • RedhatProductSecurity/Component-Registry: el Registro de Componentes (CORGI) Agregue los datos de los componentes en los productos, servicios administrados y servicios de tuberías de productos internos de Red Hat en los productos admitidos de Red Hat.
  • OSS Insight, impulsado por TIGB Cloud, es una herramienta de información que puede ayudarlo a analizar en profundidad cualquier repositorio/desarrollador de GitHub, comparar dos repositorios utilizando las mismas métricas y proporcionar información integral, valiosa y de código abierto.
  • Anunciando la beta privada de la inteligencia de riesgos de fosa
  • De los proyectos | Software Transparency Foundation, ver OSSKB | Inventario gratuito de código abierto
    • Y particularmente: Scanoss.py/package.md en Main · Scanoss/Scanoss.py
  • Artifact Hub, con informes de seguridad de paquetes y también verifica con cosign
  • CRT.SH | Búsqueda de certificados
  • Grep.App | búsqueda de código
  • Búsqueda de código GitHub
  • SearchCode | motor de búsqueda de código fuente
  • SourceGraph de SourceGraph
  • Atractores de código abierto a bordo en Open Source Hub, consulte el ejemplo de Docker-Slim en Codesee
  • Campleador de código de Snyk
  • Empiece - Fossología
  • CVE-Search/Git-Vuln-Finder: Encontrar vulnerabilidades potenciales de software de Git Commit Message
  • Chaoss/Augur: Biblioteca y servicio web de Python para la salud y la recopilación de datos de salud y salud de software de código abierto. Puede encontrar nuestra documentación e información nueva de contribuyentes fácilmente aquí: https://chaoss.github.io/augur/ y obtenga más información sobre Augur en nuestro sitio web https://augurlabs.io
  • IBM/CBOM: Lectivo de materiales de criptografía
  • Appthreat/Blint: Blint es un enlace binario para verificar las propiedades de seguridad y las capacidades en sus ejecutables. Está impulsado por Lief.

Lea también:

  • Taptuit/Awesome-DevSecops: curando los mejores recursos y herramientas de DevSecops.
  • Leer: Contorno: un sistema práctico para la transparencia binaria
  • Varios conceptos interesantes en: Shopify/SEER-Prototype: Secuestre de los riesgos expertos

SCA y SBOM

Esta sección incluye: escáneres y detectores de paquete/biblioteca, formatos SBOM, estándares, autorización y validación, y algunas aplicaciones. Probablemente incluirá SCA.

La referencia más completa es Awesomesbom/Awesome-Sbom. Otro repositorio útil centrado en los generadores es Cybeats/SBOMGEN: Lista de herramientas de generación SBOM.

  • Gitbom
    • También: Git-Bom/Bomsh: Bomsh es una colección de herramientas para explorar la idea de Gitbom
    • Yonhan3/Gitbom-Repo: un depósito de documentos de Gitbom para binarios de Linux
    • Escucha: Gitbom. No es GIT o Sbom y Gitbom: reutilización del gráfico de Git para la seguridad y transparencia de la cadena de suministro
    • Consulte también Bomsage/Vision.md en Main · DPP/Bomsage, y pkgconf/main.c en maestro · pkgconf/pkgconf (más información en este hilo)
  • NEXB/Scancode-Toolkit: Scancode detecta licencias, derechos de autor, manifestaciones y dependencias de paquetes y más mediante código de escaneo ... para descubrir e inventario de código abierto y paquetes de terceros utilizados en su código.
  • La lista de herramientas SCA de OWASP es completa por sí sola
  • Grafeas: API de metadatos de componentes
  • TrailOfBits/IT-Depends: una herramienta para construir automáticamente un gráfico de dependencia y una factura de materiales de software (SBOM) para paquetes y repositorios de código fuente arbitrarios.
  • Mend SCA SBOM, Mend Bolt: encuentre y arregle las vulnerabilidades de código abierto y el renovado de Whitesource: actualizaciones de dependencia automatizadas
    • Renovatebot/Renovate: herramienta de actualización de dependencia universal que se ajusta a sus flujos de trabajo.
      • Lea también los casos de uso - Docios de renovado
  • JFrog XRAY - Análisis de componentes universales y escaneo de seguridad de contenedores
  • DependencyTrack/Dependency-Track: Dependency-Track es una plataforma de análisis de componentes inteligentes que permite a las organizaciones identificar y reducir el riesgo en la cadena de suministro de software.
    • Buena lectura de la pista de dependencia
  • OSS-Review-Toolkit/Ort: un conjunto de herramientas para ayudar a revisar las dependencias de software de código abierto.
  • Anchore/SYFT: herramienta CLI y biblioteca para generar una factura de software de materiales a partir de imágenes y sistemas de archivos de contenedores a partir de soluciones de seguridad de la cadena de suministro de software • Anchore
    • Nota también: El nuevo comando docker sbom crea SBOMS usando syft
    • Creación de certificaciones de SBOM utilizando SYFT y SigStore
    • Flujo simple: Utils/CI/Github/Docker-Build-Sign-Sbom en Main · Marco-Lancini/Utils
  • Anunciar: Scan ahora está en modo de mantenimiento · Problema #352 · ShiftleftSecurity/SAST-Scan
  • Seguridad de contenedores | Qualys, Inc.
  • Seguridad nativa de Aqua Cloud, seguridad de contenedores y seguridad sin servidor
  • Tern-Tools/Tern: Tern es una herramienta de análisis de composición de software y la biblioteca de Python que genera una factura de software de materiales para imágenes de contenedores y DockerFiles. El SBOM que genera Tern le dará una vista capa por capa de lo que hay dentro de su contenedor en una variedad de formatos, incluidos legibles, JSON, HTML, SPDX y más.
  • Rea-Products/C-Scrm-Use Case en Master · RJB4Standards/Rea-Products de este tweet
    • Ver también Energía SBOM Prueba de concepto - INL
  • Phylum Analye PR Action: GitHub Action para analizar solicitudes de extracción de problemas de la cadena de suministro de código abierto del Phylum | La compañía de seguridad de la cadena de suministro de software
  • Microsoft/componente Detección: escanea su proyecto para determinar qué componentes usa
  • Estándar enano 5
  • Etiquetado de identificación de software (SWID) | CSRC y pautas para la creación de etiquetas de identificación de software interoperable (SWID)
  • Etiquetas de identificación de software concisas
  • Hughsie/Python-Uswid: una pequeña herramienta para incrustar etiquetas COSWID en binarios EFI
    • Ver también hilo
      • Y ejemplo práctico en CoreBoot
  • Ckotzbauer/SBOM-Operator: Catálogo de todas las imágenes de un clúster de Kubernetes a múltiples objetivos con SYFT
  • Gestión de problemas de seguridad en la seguridad de la aplicación Dynatrace
  • Defectdojo/django-defectdojo: Defectdojo es una herramienta de gestión de vulnerabilidades y DevSecops.
    • Impresionante lista de integraciones con muestras: defectdojo/muestra-scan-archivos: archivos de escaneo de muestra para probar las importaciones de defectos de defectos
  • swingletree-oss/swingletree: integrar y observar los resultados de sus herramientas de tuberías CI/CD
  • Mercedes -Benz/sechub: Sechub: una forma central y fácil de usar diferentes herramientas de seguridad con una API/cliente
  • Marcinguy/BetterScan -CE: Code Scanning/Sast/Static Analysis/Linting utilizando muchas herramientas/escáneres con un informe (código, IAC) - Betterscan Community Edition (CE)
  • BBVA/SUSTO: orquestación sistemática de pruebas de seguridad universales
  • Appthreat/Rosa: un experimento que parece muy prometedor hasta ahora.
  • Solución SBOM de Fossa
  • Rezillion Dynamic Sbom
  • OpenSBOM-Generator/SPDX-SBOM-Generator: soporte de generación de CI de SBOMS a través de herramientas de Golang.
  • Tauruseer's SBOM Tools
  • Idiomas y manifiestos compatibles con Soos
  • Fortaleza: factura de software de materiales
  • javixeneize/yasca: otra herramienta SCA
  • Cybeats SBOM Studio
  • EdgeBitio/EdgeBit-Build: acción de GitHub para cargar SBOMS a EdgeBit y recibir contexto de vulnerabilidad en sus solicitudes de extracción de EdgeBIT-Seguridad de la cadena de suministro en tiempo real, lo que permite a los equipos de seguridad apuntar y coordinar la remediación de vulnerabilidad sin trabajo.
  • La garantía de software de Rea Guardian Point Man (SAG-PM)
  • Microsoft/SBOM-Tool: la herramienta SBOM es una herramienta muy escalable y preparada para crear SBOM compatibles SPDX 2.2 para cualquier variedad de artefactos
  • SCA de Veracode para automatizar el escaneo de seguridad, consulte la demostración: cómo generar una factura de software de materiales (SBOM) utilizando el análisis de composición de software Veracode
  • Enterprise Edition - Blubracket: Code Security & Secret Detection
  • Análisis de composición de software (SCA) | Cibernética
  • Nexus Intelligence - Servicios de datos Sonatype
  • Appthreat/DEP-Scan: Auditoría de seguridad de código abierto para dependencias de proyectos basadas en vulnerabilidades y avisos conocidos. Admite reposiones locales y imágenes de contenedores. Se integra con varios entornos de CI como Azure Pipelines, Circleci, Google CloudBuild. ¡No se requiere servidor!
  • SBS2001/Fatbom: Fatbom (factura de grasa de materiales) es una herramienta que combina el SBOM generado por varias herramientas en una sola grasa. Aprovechando así la fuerza de cada herramienta.
  • Sonatype Bom Doctor
  • jhutchings1/spdx-to dependency-graph-acción: una acción de GitHub que toma SBDX SBOMS y los carga a la API de envío de dependencia de GitHub a las alertas de Power Dependabot
    • Consulte también: Evryfs/SBOM-Dependency-Submission-Action: Envíe SBOMS a la API de envío de dependencia de GitHub
    • Y los documentos de presentación de dependencia
  • Tap8Stry/Orion: Go Beyond Package Manager Discovery para SBOM
  • Patriksvensson/Covenant: una herramienta para generar SBOM (factura de software de material) a partir de artefactos del código fuente.
  • CYCLONEDX/CYCLONEDX-WEBPACK-Plugin: Crea Cyclonedx Software Bill of Materials (SBOM) desde los paquetes de Webpack en el momento de la compilación.
  • Seguridad avanzada/GH-SBOM: Genere SBOMS con GH CLI
  • Interlynk -io/sbomQS: puntaje de calidad de SBOM - métricas de calidad para sus sboms
  • eBay/SBOM-Scorecard: genere una puntuación para que su SBOM comprenda si realmente será útil.

Recursos más interesantes:

  • Brawing Down Security Podcast: 2020-031-Allan Friedman, SBOM, Transparencia de software y saber cómo se hace la salchicha
  • Episodio 312: The Legend of the Sbom
  • Reimagining Cyber ​​Podcast: LOG4J La vulnerabilidad proporciona lecciones duras en dependencias desconocidas
  • Tech deudas de deuda Burndown Serie 1 E11: Allan Friedman y SBOMS
  • Sounil Yu en SBOMS, Seguridad de la cadena de suministro de software - Conversaciones de seguridad
  • Explorando la seguridad. Crítica de SBOM. Scott McGregor, Cloud Security, Wind River
  • Down the Security Rabbithole Podcast: DTSR Episodio 487 - Software Supply Chain es un BFD
  • Podcast de análisis de composición de software: cadena de suministro de software - Episodio 1
  • Actualización crítica: ¿Sabes qué hay en tu software?
  • Software Bill of Materials | CISA
  • Caso de uso de SBOM - RKVST y RKVST SBOM HUB - RKVST
    • Lea también: SBOM HUB - Mapeaciones de atributos NTIA
  • BOF: SBOMS para sistemas integrados: ¿Qué está funcionando, qué no? - Kate Stewart, Fundación Linux
  • Todo sobre ese nacimiento, 'Bout that Bom - Melba Lopez, IBM
  • OWASP CYCLONEDX Lanza SBOM Exchange API
  • Leer: SBOM Management | Seis maneras de impedir la expansión de SBOM
  • LEA: NTIA es los elementos mínimos para una factura de materiales de software
  • Lee: Lo que una SBOM puede hacer por ti

Algunos proyectos de código abierto documentan, en público, cómo adquieren dependencias. Estos ejemplos intencionales, humanos-pares y largos pueden ser ilustrativos:

  • Envoy/Dependency_Policy.md en Main · Envoyproxy/Envoy
  • Lo que Curl espera de las dependencias
  • Seguridad: El valor de SBOMS de Flux

Intercambio de información de vulnerabilidad

  • OSV
    • Leer: SBOM en acción: Encontrar vulnerabilidades con una factura de materiales de software
    • RELACIONADO: SPDX/SPDX-TO-OSV: Producir un archivo JSON de vulnerabilidad de código abierto basado en la información en un documento SPDX
    • Herramientas: Google/OSV-Scanner: escáner de vulnerabilidad escrito en GO que utiliza los datos proporcionados por https://osv.dev
  • Tubería de detección de vulnerabilidad de Qutys
  • Vuls · Escáner de vulnerabilidad sin agente para Linux/FreeBSD
  • Base de datos de vulnerabilidad, una API también está disponible; ver vuldb
  • Appthreat/Vulnerability-DB: base de datos de vulnerabilidad y búsqueda de paquetes para fuentes como OSV, NVD, GitHub y NPM.
  • Aquasecurity/Trivy: Scanner for Vulnerabilidades en imágenes de contenedores, sistemas de archivos y repositorios GIT, así como para problemas de configuración
  • SAST para la seguridad del código | Código snyk
    • Ver también: Elegir bibliotecas de código abierto de Snyk
  • Edición Comunitaria de contraste
  • Catálogo de vulnerabilidades explotados conocidos | CISA
  • CVE-Search/CVE-Search: CVE-Search: una herramienta para realizar búsquedas locales para vulnerabilidades conocidas
  • Exein-io/Kepler: tienda de búsqueda CVE basada en NIST y API alimentada por Rust
  • NEXB/VulnerableCode: un trabajo en progreso hacia una base de datos de vulnerabilidades gratuitas y abiertas y los paquetes que impactan. Y las herramientas para agregar y correlacionar estas vulnerabilidades. Patrocinado por nlnet https://nlnet.nl/project/vulnerabilityDatabase/ para https://www.aboutcode.org/ chat en https://gitter.im/aboutcode-org/vulnerablecode
  • Toolswatch/VFEED: la API de la base de datos de vulnerabilidad e inteligencia de amenazas correlacionadas de CVE
  • OSSF/Scorecard: Security ScorCards - Métricas de salud de seguridad para código abierto, métricas OpenSF y revistas de OSSF/Security: una colección comunitaria de revisiones de seguridad de componentes de software de código abierto.
    • OSSF/Scorecard-Action: Acción oficial de GitHub para OSSF ScorCards.
      • Nota: Cómo OpenSSF Scorecard's GitHub Action V2 Action usa GitHub OIDC con SigStore
    • También OpenSSF Security Insights Spec
    • LEA: Cómo OpenSSF ScorCards puede ayudar a evaluar los riesgos de software de código abierto
    • Gran ejemplo de la vida real: Repositorios de Github de la Fundación Eclipse de Eclipse
  • Lynis - Herramienta de auditoría y endurecimiento de seguridad para Linux/Unix
  • Víctimas/víctimas-cVe-DB: tienda de bases de datos CVE
  • Anchore/Grype: un escáner de vulnerabilidad para imágenes y sistemas de archivos de contenedores
    • Consulte también el uso de Grype para identificar las vulnerabilidades de acción de Github
    • Y también Grype ahora admite los estándares Cyclonedx y SPDX
  • Base de datos de asesoramiento de GitHub ahora abierta a contribuciones comunitarias
  • Grupo de trabajo de base de datos de seguridad global | CSA, también ver CloudsecurityAlliance/GSD-Database: Global Security Database
  • Trickest/CVE: Reúna y actualice todas las CVE disponibles y más nuevas con su POC.
  • RFC 9116: un formato de archivo para ayudar en la divulgación de vulnerabilidad de seguridad
  • Un ejercicio AOSP vuln-a-compromisos: quarkslab/aosp_dataset: conjunto de datos de vulnerabilidad preciso de gran cometido basado en AOSP CVE
    • Conjunto de datos de vulnerabilidad de nivel de confirmación
  • Nyph-Infosec/Daggerboard
  • Davideshay/Vulnscan: suite de escáner de vulnerabilidad basado en Grype y Syft de Anchore
  • Devops-kung-fu/bombardero: escanea SBOMS para vulnerabilidades de seguridad
  • Fortaleza: Gestión de vulnerabilidades
  • Gestión de vulnerabilidad | adolo
  • SecVisOgram/SecVisOgram: SecVisOgram es una herramienta web para crear y editar avisos de seguridad en el formato CSAF 2.0
  • Future-Architect/Vuls: escáner de vulnerabilidad sin agente para Linux, FreeBSD, Container, WordPress, Bibliotecas de lenguaje de programación, dispositivos de red
  • Infobyte/Faraday: plataforma de gestión de vulnerabilidades de código abierto desde Faraday - Community V4 Release
  • MITER/SAF: La interfaz de línea de comandos (SAF) de Mitre Security Framework (SAF) (CLI) reúne aplicaciones, técnicas, bibliotecas y herramientas desarrolladas por Miter y la comunidad de seguridad para optimizar la automatización de seguridad para sistemas y tuberías de DevOps
  • DevOps-Kung-Fu/Bomber: la factura de materiales de software de escaneos (SBOMS) para vulnerabilidades de seguridad
  • Rezilion/MI-X: Determine si su cálculo es realmente vulnerable a una vulnerabilidad específica al contabilizar todos los factores que afectan la explotabilidad real (ejecución de tiempo de ejecución, configuración, permisos, existencia de una mitigación, OS, etc.)
  • OSSF-CVE-Benchmark/OSSF-CVE-Benchmark: el punto de referencia OpenSSF CVE consiste en código y metadatos para más de 200 CVE de la vida real, así como en herramientas para analizar las bases de código vulnerables utilizando una variedad de herramientas de pruebas de seguridad de análisis estáticos (SAST) y generar informes para evaluar esas herramientas.
  • Consulte la gestión de vulnerabilidades en los documentos de Neuvector para ejemplos de integración en escenarios de contenedores
  • NOQCKS/XEOL: un escáner de paquete de fin de vida (EOL) para imágenes de contenedores, sistemas y SBOMS
  • MCHMARNY/VIMP: compare los datos de los escáneres de vulnerabilidad múltiples para obtener una imagen más completa de posibles exposiciones.

Una sección dedicada sobre las lecturas de Vex:

  • Cyclonedx - Exchange de explotabilidad de vulnerabilidad (VEX)
    • El intercambio de explotabilidad de vulnerabilidad explicó: Cómo Vex hace que SBOMS sea procesable
    • Cómo VEX ayuda a SBOM+SLSA a mejorar la visibilidad de la cadena de suministro | Blog de Google Cloud
    • ¿Qué es Vex y qué tiene que ver con SBOMS?
    • ¿Qué es Vex? ¡Es el intercambio de explotabilidad de vulnerabilidad!
    • El estándar de intercambio de explotabilidad de vulnerabilidad (VEX)
    • Vex y sboms
    • VDR o VEX - ¿Cuál uso? Parte 1
    • ¡VEJAR! O ... ¡Cómo reducir el ruido de CVE con un simple truco! por Frederick Kautz
    • Intercambio de explotabilidad de vulnerabilidad (VEX) - Justificaciones de estado
  • Vex en tiempo real

Ver también:

  • Vulncode-db en la ruta de deprecación
  • Github trae características de seguridad de la cadena de suministro a la comunidad de Rust
  • Cycognito adopta el mapeo ATT & CK a CVE por impacto
  • LEA: Una mirada más cercana a las puntuaciones de CVSS, la locura del parche: los avisos de errores de los proveedores están rotos, tan rotos y una mirada incompleta a las bases de datos de vulnerabilidades y metodologías de puntuación
  • LEA: Cómo analizar un SBOM y cómo generar y alojar SBOMS de Cloudsmith
  • LEA: Después del aviso del equipo de Insights de código abierto de Google

Validaciones de punto de uso

Esta sección incluye: políticas de admisión e ingestión, verificación de tiempo de extracción y verificaciones de usuario final.

  • Kyverno
    • Leer: atestiguando escaneos de imágenes con Kyverno
      • Y: administrar las políticas de Kyverno como artefactos de OCI con fuentes de ocirepository
    • También: testifysec/juez-k8s: prueba de concepto controlador de admisión de Kubernetes utilizando la biblioteca de verificación de testimonio de testimonio
  • Ckotzbauer/SBOM-Operator: Catálogo de todas las imágenes de un clúster de Kubernetes a múltiples objetivos con SYFT
  • Connaisseur: verificar las firmas de imagen del contenedor en Kubernetes
  • SigStore/Policy-Controller: el controlador de admisión de política utilizado para hacer cumplir la política en un clúster en metadatos de cadena de suministro verificables de Cosign.
    • Ver también: Lukehinds/Policy-Controller-Demo: Demo de firma sin llave con el controlador de políticas de Sigstore Kubernetes
  • Portieris/Políticas.md en Main · IBM/Portieris
  • Reproducible-Containers/Repro-Get: Reproducible Apt/DNF/APK/PACMAN, con contenido.
  • KPCYRD/PACMAN-BINTRANS: Transparencia binaria experimental para Pacman con Sigstore y Rekor
    • Vea también: KPCYRD/Apt-Savar :? P2P Gossip Network para la transparencia de actualización, según PGP?
  • Agente de políticas abiertas
  • Conftest permite escribir pruebas contra datos de configuración estructurados utilizando el lenguaje de consulta de la política de políticas abiertas: aquí hay un ejemplo
  • Varios ganchos previos al comercio permiten la verificación de vulnerabilidad justo antes del tiempo de ingestión de dependencia en la base de código
    • Por ejemplo, Pyupio/Safety: verificaciones de seguridad sus dependencias instaladas por vulnerabilidades de seguridad conocidas
      • O npm-audit
        • Ver también Snyk-Labs/Snync: mitigar las preocupaciones de seguridad de la dependencia de la confusión Riesgos de seguridad de la cadena de suministro
        • Y Lirantal/Lockfile-Lint: Pelula un NPM o HILAR Lockfile para analizar y detectar problemas de seguridad
      • O requiere.io | Monitoree sus dependencias
      • O el escáner de seguridad de Brakeman
      • O TrailOfBits/Pip-Audit: Audita los entornos de Python y los árboles de dependencia para las vulnerabilidades conocidas
        • Ver también: Las alertas de dependientes ahora tienen la superficie si su código está llamando a una vulnerabilidad
        • Y: use Data-Dist-Info-Metadata (PEP 658) para desacoplar la resolución desde la descarga de CosmicExplorer · Solicitud de solicitud #11111 · PYPA/PIP
      • Interesante proyecto relacionado con Python: Proyecto Thoth, utilizando inteligencia artificial para analizar y recomendar pilas de software para aplicaciones de Python
      • O checkmarx/chainjacking: encuentre cuál de sus dependencias directas directas de github es susceptible al ataque de chainjacking
      • O VET de carga y CREV-DEV/CARGO-CVV: un sistema de revisión de código criptográficamente verificable para el Administrador de paquetes de carga (Rust).
      • No validación automatizada, sino una guía integral para Java con algunos puntos críticos relacionados con la seguridad de la cadena de suministro: las mejores prácticas de Google para las bibliotecas de Java
  • El análisis estático a menudo se usa en esta etapa para detectar la adquisición de dependencia, por ejemplo:
    • Semgrep
      • Comenzando con la cadena de suministro de Semgrep
      • Ver también: Captura de vulnerabilidades de seguridad con SemGrep
    • Graudit/Firmas en Master · Wireghoul/Graudit
    • Banyanops/coleccionista: un marco para el análisis estático de las imágenes de contenedores Docker
    • Quay/Clair: Análisis estático de vulnerabilidad para contenedores
    • Datadog/GuardDog: GuardDog es una herramienta CLI para identificar paquetes de PYPI y NPM maliciosos
    • Eliasgranderubio/Dagda: una herramienta para realizar un análisis estático de vulnerabilidades conocidas, troyanos, virus, malware y otras amenazas maliciosas en imágenes/contenedores de Docker y para monitorear los Docker Daemon y los contenedores Docker para detectar actividades anómalas
      • Medio brillante, medio divertido, completo útil: Kpcyrd/Libredefender: Imagine la guía de cumplimiento de seguridad de la información dice que necesita un antivirus pero ejecuta Arch Linux
    • KICS: mantener la infraestructura como código seguro
    • Tinkerbell/Lint-Install: Instale constantemente reglas de enlace razonables para proyectos de código abierto
    • Reglas hadolint en la instalación del paquete, por ejemplo, Hadolint/Readme.md en D16F342C8E70FCFFC7A788D122A1BA602075250D · Hadolint/Hadolint
      • También escaneos de recursos de Dockerfile: checkov desde Bridgecrewio/Checkov: prevenir las configuraciones erróneas de la nube durante el tiempo de compilación para Terraform, CloudFormation, Kubernetes, Marco sin servidor y otros idiomas de infraestructura como código con Checkov por Bridgecrew.
      • Y: xlab-Si/IAC-scan-corredor: servicio que escanea su infraestructura como código para vulnerabilidades comunes
      • Y: AWS-Samples/Automated-Security-Helper1
  • Evaluación de vulnerabilidad | Portal OpenScap
  • Detección de log4shell con wazuh
  • AquaSecurity/Starboard: Kubernetes-Nativos de seguridad de seguridad
    • Comience con Kubernetes Security y Starboard
  • Armosec/Kubescape: Kubescape es una herramienta de código abierto de K8s que proporciona un solo panel de vidrio K8s de K8s, que incluye análisis de riesgos, cumplimiento de seguridad, visualizador RBAC y escaneo de vulnerabilidades de imágenes.
    • También: extensión de código de estudio de Kubescape Visual Studio
  • Ckotzbauer/Vulnerabilidad-Operador: Escanea SBOMS para vulnerabilidades
  • Chen-Keinan/Kube-Beacon: escáner de tiempo de ejecución de código abierto para clúster K8s y realiza verificaciones de auditoría de seguridad basadas en la especificación de referencia de Kubernetes cis
  • AquaSecurity/Kube Bench: Comprueba si Kubernetes se implementa de acuerdo con las mejores prácticas de seguridad como se define en el punto de referencia de Kubernetes cis y Aquasecurity/Kube-Hunter: busca debilidades de seguridad en Kubernetes Clusters
  • OpenClarity/KubeClarity: KubeClarity es una herramienta para la detección y gestión de la factura de software de materiales (SBOM) y las vulnerabilidades de las imágenes y sistemas de archivos de contenedores
  • Stackrox/Stackrox: la plataforma de seguridad Stackrox Kubernetes realiza un análisis de riesgos del entorno del contenedor, ofrece alertas de visibilidad y tiempo de ejecución, y proporciona recomendaciones para mejorar de manera proactiva al endurecer el entorno.
  • CloudQuery/Plugins/Source/K8s/Políticas en Main · CloudQuery/CloudQuery
  • Quarkslab/Kdigger: Herramienta de evaluación de contenedores y descubrimiento de contexto enfocado en Kubernetes para pruebas de penetración
  • Ossillate-INC/Packj: la herramienta de investigación detrás de nuestra plataforma de análisis de seguridad a gran escala para detectar paquetes de código abierto malicioso/arriesgado y Packj | Una herramienta de verificación para evitar paquetes "riesgosos"
  • DOOWON/SIGTOOL: SIGTOOL para archivos de PE firmados en GO
  • Introducción de "NPM seguro", un envoltorio de npm de socket - Socket
  • Introducción al veterinario de Safedep | Safedep

Ver también:

  • Análisis de análisis de análisis/análisis estático: una lista curada de herramientas de análisis estático (SAST) para todos los lenguajes de programación, archivos de configuración, herramientas de compilación y más.
  • Andererseknert/Awesome-OPA: una lista curada de herramientas, marcos y artículos relacionados con OPA
  • Jupiterone/Secops-Automation-Examples: Ejemplos sobre cómo mantener la seguridad/cumplimiento como código y automatizar SECOP utilizando la plataforma JUPITERONE.
    • Cómo generamos una factura de software de materiales (SBOM) con Cyclonedx
  • Asegurando tuberías CICD con Stackrox / RHACS y SigStore
  • Mira: ¿Confías en tu administrador de paquetes? en Security Fest 2022

Cadena de suministro más allá de las bibliotecas

Y algunas cosas para ver más allá de las bibliotecas y las dependencias de software:

  • Transparencia del sistema | Arquitectura de seguridad para servidores de metal desnudo
  • Perfiles de huésped emulados en FWUPD
  • GNOME para advertir a los usuarios si está desactivado de arranque seguro, preparando otra ayuda de seguridad de firmware
  • Proyecto de autopecciones de kernel - Subsistema de seguridad del kernel de Linux
  • Keylime / Keylime: un proyecto CNCF para arrancar y mantener la confianza en el borde / nube y IoT
  • ParallaxSecond/ParSEC: Abstracción de plataforma para el servicio de seguridad
  • TPM Carte Blanche Ronsistant Boot Fetwation

Identidad, firma y procedencia

Esta sección incluye: proyectos y detalles de discusiones a la identidad del desarrollador, OIDC, llave y temas relacionados.

  • Parte de SigStore
    • Cosiglar
    • Fulcio
    • Reía
    • Ver también: Kubernetes toca a Sigstore para frustrar los ataques de la cadena de suministro de software de código abierto
    • Vista específica de SigStore del paisaje OpenSSF
  • Servicio de Atestación CAS - CAS
  • Testigo - testifisecia/testigo: el testigo es un marco conectable para la gestión de riesgos de la cadena de suministro de software. Automata, normaliza y verifica la procedencia de artefactos del software.
    • Reloj: asegurar la cadena de suministro con testigo - Cole Kennedy, testifisecia
    • Vea también: testifysec/go-IMA: GO-IMA es una herramienta que verifica si un archivo ha sido manipulado. Es útil para garantizar la integridad en los sistemas CI
  • Puerco/Tejolote: un ejecutor y observador de compilación altamente configurable diseñado para generar certificaciones de procedencia SLSA firmadas sobre las ejecuciones de compilación.
  • In-ToTo-Cun-GitHub Marketplace y en Toto/GitHub-Action: Acción GitHub de procedencia en TOTO
  • Disponibilidad general del generador genérico SLSA3 para acciones de GitHub
    • SLSA-Framework/SLSA-GitHub-Generator: generación de procedencia de SLSA de lengua inglesa para acciones de GitHub
    • Ver también: Crafting de atestación | Documentación de Chainloop
  • Technosophos/Helm-GPG: firma y verificación de gráficos con Gnupg para Helm.
  • CashApp/Pivit es una herramienta de línea de comando para administrar certificados X509 almacenados en tarjetas inteligentes con soporte de applet PIV que es totalmente compatible con git
  • NotaryProject/Notary: Notary es un proyecto que permite a cualquier persona tener confianza sobre colecciones de datos arbitrarias
    • NotaryProject/Roadmap: Hoja de ruta para Notaryv2
    • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
    • notaryproject/tuf: The Update Framework for OCI Registries
      • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
      • Also see How to easily try out TUF + in-toto
      • Check out Python-TUF reaches version 1.0.0
      • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
      • Read: Secure Software Updates via TUF — Part 2
  • deislabs/ratify: Artifact Ratification Framework
  • latchset/tang: Tang binding daemon
  • ietf-rats - Overview
  • An exposed apt signing key and how to improve apt security
  • See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
    • Another witness example with GitLab
  • Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
  • aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
  • Read: Monitoring the kernel.org Transparency Log for a year
  • Also read: Software Distribution Transparency and Auditability
  • paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
    • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
  • johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
  • oras-project/artifacts-spec
  • recipy/recipy: Effortless method to record provenance in Python
  • spiffe/spire: The SPIFFE Runtime Environment
  • Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
  • google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
  • Artifactory - Universal Artifact Management
  • pyrsia/pyrsia: Decentralized Package Network
  • transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
  • Watch: Privacy-preserving Approaches to Transparency Logs

Frameworks and best practice references

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

  • in-toto | A framework to secure the integrity of software supply chains
  • Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
    • Great read: SLSA | CloudSecDocs
    • Another L50 read: Building trust in our software supply chains with SLSA
    • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
      • Also, a framework mapping put together by Red Hat
    • A Practical Guide to the SLSA Framework by FOSSA
    • Read: Securing Gitpod's Software Supply Chain with SLSA
    • Read: A First Step to Attaining SLSA Level 3 on GitHub
    • And a pattern search across GitHub for inspiration (thanks @infernosec)
  • OWASP Application Security Verification Standard, esp. V14 - Configuration
  • OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
  • CREST launches OWASP Verification Standard (OVS)
  • SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
  • SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
    • Related: A MAP for Kubernetes supply chain security
  • Software Supply Chain Risk Management | BSIMM
  • microsoft/scim: Supply Chain Integrity Model
    • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
  • Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
    • Also Comply with NIST's secure software supply chain framework with GitLab
  • The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
  • SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
  • npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
  • CIS Software Supply Chain Security Guide
  • microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
  • GitHub's Implementing software security in open source
  • Previously referenced: Google Best Practices for Java Libraries
  • MITRE's System of Trust
  • Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
  • OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
  • Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

  • Zero Trust the Hard Way, Kelsey Hightower
  • KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
  • Gestión de riesgos de la cadena de suministro

Build techniques

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

  • Reproducible Builds, particularly the Documentation
    • rb ecosytem mapping
    • Reproducible Builds / reprotest
    • Is NixOS Reproducible?
  • Bootstrappable Builds (GNU Mes Reference Manual)
    • Also read Bootstrappable builds from LWN
  • tektoncd/chains: Supply Chain Security in Tekton Pipelines
    • Verifiable Supply Chain Metadata for Tekton - CD Foundation
  • google/santa: A binary authorization system for macOS
  • fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
  • kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
    • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
  • kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
  • tag-security/sscsp.md at main · cncf/tag-security
  • defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
  • Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
    • Example using SBOM as an input: Inputs - Hoppr
  • On instrumenting runners:
    • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
    • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
  • reposaur/reposaur: Open source compliance tool for development platforms.
  • buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
  • chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
    • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
  • aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database | Aqua Security
  • ossf/allstar: GitHub App to set and enforce security policies
  • scribe-public/gitgat: Evaluate source control (GitHub) security posture
  • Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
  • crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
  • wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
  • oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
  • jart/landlock-make: Sandboxing for GNU Make has never been easier
    • Read: Using Landlock to Sandbox GNU Make
  • veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
  • Changelog for Pants 2: The ergonomic build system
  • Bazel is an open source build and test tool similar to Make, Maven, and Gradle
  • GoogleContainerTools/kaniko: Build Container Images In Kubernetes
  • sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
  • buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
  • eellak/build-recorder
    • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

  • The reproducible-builds topic on GitHub
  • Dependency management as part of Google Cloud's Artifact Registry documentation
  • Security hardening for GitHub Actions
    • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
  • Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
  • Code Sight
  • cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
    • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
  • Read: What Makes a Build Reproducible, Part 2
  • Read: Building a Secure Software Supply Chain with GNU Guix
  • alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
  • Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
  • Read: Reproducible Builds: Break a log, good things come in trees
  • Secure Your Software Factory with melange and apko
    • On the apko pattern, see Shopify/hansel
  • kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

Talks, articles, media coverage and other reading

Getting started and staying fresh

  • A few resources, in addition to this repository, that can help keep up with news and announcements:
    • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
    • tl;dr sec Newsletter
    • Past Issues | CloudSecList
    • News - reproducible-builds.org
    • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
    • A visual reference by Enso Security: AppSec Map
    • A similar one: Jetstack | The Software Supply Chain Toolkit
    • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
    • A toolbox for a secure software supply chain from Chainguard
    • The Technology chapter in Snyk's DevSecOps series
    • A helpful list of acronyms: Acronyms | OpenSCAP portal
    • slsa/terminology.md at main · slsa-framework/slsa
    • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
    • Watch: How to start learning about Supply Chain Security
    • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

  • Secure Software Development Fundamentals Courses - Open Source Security Foundation
    • Securing Your Software Supply Chain with Sigstore
  • Census II of Free and Open Source Software — Application Libraries
  • “Chain”ging the Game - how runtime makes your supply chain even more secure
  • How to attack cloud infrastructure via a malicious pull request
  • The Challenges of Securing the Open Source Supply Chain
  • What is a Software Supply Chain Attestation - and why do I need it?
  • Open Policy Agent 2021, Year in Review
  • Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
  • The state of software bill of materials: SBOM growth could bolster software supply chains
  • Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
    • Secure Software Supply Chains
  • A few resources to understand supply chain compromises:
    • Supply Chain Compromise - attackics
    • tag-security/supply-chain-security/compromises at main · cncf/tag-security
    • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
    • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
      • Endor Labs' version: Risk Explorer for Software Supply Chains
      • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
    • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
    • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
    • ossf/oss-compromises: Archive of various open source security compromises
    • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
    • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
    • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects. ¡Comentarios bienvenidos!
  • Improving TOFU (trust on first use) With Transparency
  • Reports:
    • 2022 State of Cloud Native Security Report - Palo Alto Networks
    • 2022 Software Supply Chain Security Report • Anchore
  • End-to-end demos and examples:
    • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
    • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
  • Using SARIF to Extend Analysis of SAST Tools
  • GitLab's Software Supply Chain Security section
    • Also read GitLab's Software Supply Chain Security Direction
  • GitHub's SARIF support for code scanning
  • Driving Developer Productivity via Automated Dependency Tracking
  • Code scanning finds more vulnerabilities using machine learning
  • Securing Open Source Software at the Source
  • Security: The Value of SBOMs
  • Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
  • SBOMs in the Windows Supply Chain, from the SPDX User Group
  • Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
  • Binary Authorization for Borg: how Google verifies code provenance and implements code identity
  • Application Security Weekly (Video) on Apple Podcasts
  • How to prioritize the improvement of open source software security
    • And Strengthening digital infrastructure: A policy agenda for free and open source software
  • Software Supply Chain Security Turns to Risk Mitigation
  • Reproducible Builds: Increasing the Integrity of Software Supply Chains
  • sigstore/community: General sigstore community repo
  • CycloneDX Use Cases
    • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
  • Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
  • Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
  • The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
  • Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
  • Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
  • Watch: The state of open source security in 2022 with Kurt Seifried
  • Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
  • EO 14028 and Supply Chain Security
  • Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
  • Open Source Security Foundation (OpenSSF) Security Mobilization Plan
  • Not Just Third Party Risk
  • Open Source Security: How Digital Infrastructure Is Built on a House of Cards
  • Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
  • Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
  • Supply Chain Security for Cloud Native Java (from Thomas Vitale)
  • Podcast: It Depends with Trail of Bits
  • New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
  • Software Supply Chain Primer v0.93 (June 2022)
Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo