Page d'accueil>Code source JSP>Autres catégories
Télécharger

Awesome-Software-Supply-Chain-Security

Une compilation des ressources dans le domaine de sécurité de la chaîne d'approvisionnement logicielle, en mettant l'accent sur l'open source.

  • Awesome-Software-Supply-Chain-Security
    • À propos de cette liste
    • Intelligence de dépendance
      • SCA et SBOM
      • Échange d'informations sur la vulnérabilité
    • Validations de points d'utilisation
      • Chaîne d'approvisionnement au-delà des bibliothèques
    • Identité, signature et provenance
    • Cadres et références des meilleures pratiques
    • Construire des techniques
    • Conférences, articles, couverture médiatique et autres lectures
      • Commencer et rester frais

À propos de cette liste

Il n'y a pas de taxonomie prescrite pour ce domaine. Cette liste aura nécessairement un certain chevauchement avec des disciplines et des catégories telles que DevseCops, Sast, SCA et plus encore.

Le repo de synthèse de la chaîne d'approvisionnement offre une longue forme de forme sur la raison pour laquelle c'est le cas, ainsi que des pointeurs utiles à comprendre et à naviguer au fur et à mesure qu'il évolue.

Pour awesome-software-supply-chain-security nous adoptons l'approche de haut niveau suivante: différents acteurs de la chaîne d'approvisionnement contribuent à l'attestation aux éléments représentés dans la chaîne.

Dans cette vision centrée sur le processus, des attestations sont émises , augmentées (par exemple, pendant la composition) et vérifiées .

Une autre façon de regarder cela a été décrite ici par Josh Bressers, et voici un exemple narratif dans la nature de Spotify

En utilisant cet objectif, nous pouvons identifier un grand groupe de «sujets» (dépendances), des catégories distinctes de «faits» (licences ou vulnérabilités) et le rôle spécifique de l'identité, de la provenance et des systèmes de construction. Il s'agit de la justification des titres actuels, qui devraient évoluer avec le domaine.

D'autres exemples du processus en cours pour définir le domaine incluent Ajouter une mauvaise conception en tant que scénario de la chaîne d'approvisionnement · Numéro # 249 · SLSA-Framework / SLSA et comment SLSA s'intègre-t-il dans une sécurité plus large de la chaîne d'approvisionnement? · Numéro # 276 · SLSA-Framework / SLSA. Consultez ce tweet d'Aeva Black avec Dan Lorenc pour une autre vue dans un pince sur quelques projets clés.

Intelligence de dépendance

Cette section comprend: la gestion des packages, la gestion des bibliothèques, la gestion des dépendances, la gestion des dépendances vendus, les recherches de hash, le package, la bibliothèque et la dénomination des dépendances, l'étiquetage du comportement des bibliothèques, la publication de la bibliothèque, les registres et les référentiels, la publication des portes et des analyses, le cycle de vie de dépendance.

  • Informations open source
  • GUACSEC / GUAC: GUAC agrège les métadonnées de sécurité des logiciels dans une base de données de graphiques haute fidélité.
  • package-url / purl-spec: une spécification minimale pour purl aka. Un package URL "principalement universel", rejoignez la discussion à https://gitter.im/package-url/lobby
  • Services en ligne qui aident à comprendre ce qu'est une dépendance spécifique, ou du moins qu'elle soit connue (généralement l'alimenter un identifiant de package, tel que purl , CPE ou une autre forme d' ecosystem:name:version , ou alternativement via Hash):
    • NSRL: Hashs pour le logiciel COTS, bien intégré dans l'outillage de SleuthKit / HFind à NSRLLookup
    • Une source qui peut être interrogée via une API publique (HTTP et DNS!) Et peut être plus open source est Circl Hashlookup
    • La répologie a une couverture légendaire pour les packages Linux à travers la distribution multiple; Sa répologie-updater et d'autres pièces d'infrastructure sont open source. Il fournit une mise à jour pour Wikidata qui a également des propriétés d'intérêt pour le domaine de sécurité de la chaîne d'approvisionnement.
    • Métadonnées des référentiels externes de Debian
    • Bibliothèques de Tidelift.io fournit une API et prend en charge plus de 30 écosystèmes de package (et plusieurs outils open source utiles)
    • L'agent unifié de Whitesource offre également des capacités de correspondance de fichiers sophistiquées
    • Le projet de patrimoine logiciel possède des capacités d'ingestion massives et propose une API qui peut vérifier efficacement si un hachage est connu et fournir certaines informations sur le fichier si c'est le cas
      • Voir aussi CLI du scanner SWH
    • hashdd - de bons hachages cryptographiques connus
    • Clairement défini fournit des informations sur les licences pour les composants open source, compte tenu de leurs coordonnées
    • LGTM - plate-forme d'analyse de code pour trouver et prévenir les vulnérabilités permet la recherche manuelle par le repo github
    • Le répertoire de transparence binaire propose une API qui permet de rechercher des packages par hachage et autres attributs
      • Une lecture en quelque sorte liée est la seconde moitié de la façon dont CloudFlare vérifie le code que WhatsApp sert aux utilisateurs
      • Et l'intégrité de la sous-resource
      • Ne pas confondre avec la lecture légendaire sur la transparence binaire
  • Pour les entrées acquises, par exemple, via curl :
    • Spectralops / Fillight: Fillight vous aide à vérifier les scripts et les exécutables pour atténuer la chaîne d'attaques d'approvisionnement telles que le récent hack Codecov.
    • Apiaryio / Curl-Trace-Parser: Parser pour la sortie de Curl - Option de trace
      • Curl Trace ATTESTOR · Issue # 139 · Testifysec / témoin
    • Les amis ne laissent pas les amis s'enrouler | Frapper
      • Et l'emballage assez intéressant permettent de curl | bash et d'autres trucs sauvages. par Jordansissel · Pull Demande # 1957 · Jordansissel / FPM
    • Falco
    • Aquasecurity / Tracee: Linux Runtime Security and Forensics utilisant EBPF
    • Généficeools / Bane: Générateur de profil Apparmor personnalisé et meilleur pour les conteneurs Docker.
    • conteneurs / OCI-SecComp-BPF-Hook: OCI Hook pour tracer les systèmes et générer un profil SecComp
    • Bottlerocket-OS / Hotdog: Hotdog est un ensemble de crochets OCI utilisés pour injecter le patch chaud Log4J dans des conteneurs.
  • DeepFence / ThreatMapper: plate-forme d'observabilité de sécurité native du cloud open source. Linux, K8S, AWS Fargate et plus encore.
  • Vérifier la dépendance
  • OSSF / Package-Analysis: Analyse des packages open source et OSSF / Fermements de pack
    • CONNEXES: Présentation de l'analyse des packages: scanne des packages open source pour un comportement malveillant
    • ARGO Security Automation avec OSS-Fuzz, améliorant la sécurité en mettant le paysage CNCF et Google / Oss-Fuzz: Oss-Fuzz - Fuzzing continu pour les logiciels open source.
    • Et clusterfuzzlite
    • Pour Node.js: CodeIntelligenceTesting / Jazzer.js: Fuzzing en guidage de couverture, guidé, pour le Node.js
    • De plus, bien que sans doute plus dans le domaine de l'observabilité des applications, Intelleabs / Control-Flag: un système pour signaler les expressions de code source anormales en apprenant les expressions typiques des données de formation
  • Abhisek / Supply-Chain-Security-Gateway: Architecture de référence et preuve de mise en œuvre du concept pour la passerelle de sécurité de la chaîne d'approvisionnement
  • CUGU / GOCAP: Énumérez vos capacités de dépendances et surveillez si les mises à jour nécessitent plus de capacités.
  • MATE: Analyse de programme interactive avec des graphiques de propriété de code et voir Galoisinc / Mate: Mate est une suite d'outils pour l'analyse de programme interactive en mettant l'accent sur la chasse aux bogues dans le code C et C ++ à l'aide de graphiques et de documents de propriété de code
  • CheckMarx / Chainalert-Github-Action: analyse les packages et alertes populaires dans les cas, il y a des soupçons de prise de contrôle du compte
  • Open Source Security Foundation (OpenSSF) Projet Alpha-Omega
  • Socket - Trouver et comparer des millions de packages open source, axés sur JavaScript
  • Diffoscope: comparaison approfondie des fichiers, des archives et des répertoires
  • RedHatProductSecurity / Component-Registry: Registre des composants (CORGI) Agrège les données des composants à travers les produits pris en charge de Red Hat, les services gérés et les services de pipeline de produits internes.
  • OSS Insight, propulsé par TIDB Cloud, est un outil de perspicacité qui peut vous aider à analyser en profondeur n'importe quel référentiel / développeurs GitHub unique, comparer deux référentiels en utilisant les mêmes mesures et fournir des informations open source complètes, précieuses et précieuses.
  • Annonce de la version bêta privée de Fossa Risk Intelligence
  • Des projets | Fondation de transparence des logiciels, voir OSSKB | Inventaire gratuit de l'open source
    • Et en particulier: scanoss.py/package.md sur Main · Scanoss / Scanoss.py
  • Artefact Hub, avec un rapport de sécurité des packages et vérifie également avec Cosign
  • CRT.SH | Recherche de certificat
  • grep.app | recherche de code
  • Recherche de code github
  • Code de recherche | moteur de recherche de code source
  • SourceGraph de SourceGraph
  • Contributeurs open-source à bord sur Hub Open Source, voir l'exemple Docker-Slim dans Codesee
  • Vérificateur de code de SNYK
  • Commencez - Fossologie
  • CVE-SECCH / GIT-VULN-FINDER: Trouver des vulnérabilités logicielles potentielles à partir de messages Git Commit
  • Chaoss / Augur: Python Library and Web Service for Open Source Software Health and Sustainability Metrics & Data Collection. Vous pouvez facilement trouver notre documentation et nos nouvelles informations sur les contributeurs ici: https://chaoss.github.io/augur/ et en savoir plus sur Augur sur notre site Web https://augurlabs.io
  • IBM / CBOM: Cryptography Bill of Materials
  • Appterreat / blint: Blint est un linter binaire pour vérifier les propriétés de sécurité et les capacités de vos exécutables. Il est alimenté par Lief.

Lisez également:

  • Taptuit / Awesome-Devsecops: conservation des meilleures ressources et outils DevSecops.
  • Lire: Contour: un système pratique pour la transparence binaire
  • Plusieurs concepts intéressants dans: Shopify / SEER-ProTotype: Élicitation des experts en sécurité des risques

SCA et SBOM

Cette section comprend: les scanners et détecteurs de package / bibliothèque, les formats SBOM, les normes, la création et la validation, et quelques applications. Comprendra probablement SCA.

La référence la plus complète est AwesomesBom / Awesome-Sbom. Un autre référentiel utile axé sur les générateurs est Cybeats / Sbomgen: Liste des outils de génération SBOM.

  • Gitbom
    • Aussi: Git-Bom / Bomsh: Bomsh est une collection d'outils pour explorer l'idée de Gitbom
    • Yonhan3 / Gitbom-Repo: un référentiel de documents Gitbom pour les binaires Linux
    • Écoutez: Gitbom. Ce n'est pas Git ou Sbom et Gitbom: réutiliser le graphique de Git pour la sécurité et la transparence de la chaîne d'approvisionnement
    • Voir également BOMSAGE / VISION.MD AT MAIN · DPP / BOMSAGE et PKGCONF / MAIN.C AT MASTER · PKGCONF / PKGCONF (plus d'informations dans ce thread)
  • NEXB / SCANCODE-TOOLKIT: SCANCODE détecte les licences, les droits d'auteur, les manifestes et les dépendances de package et plus encore en numérisant le code ... pour découvrir et inventaire les packages open source et tiers utilisés dans votre code.
  • La liste des outils SCA d'Owasp est complète en soi
  • Grafeas: une API de métadonnées composantes
  • TrailOfBits / IT-Dépend: un outil pour créer automatiquement un graphique de dépendance et une facture de matériaux de logiciels (SBOM) pour les packages et les référentiels de code source arbitraire.
  • MEND SCA SBOM, MEND BOLT: Find et corriger les vulnérabilités open source et la rénovation de Whitesource: Mises à jour automatisées
    • RenovateBot / Renovate: Universal Dependency Update Tool qui s'inscrit dans vos workflows.
      • Lisez également les cas d'utilisation - Rénover les documents
  • JFROG XRAY - Analyse des composants universels et numérisation de sécurité des conteneurs
  • DependencyTrack / Dependency Track: Dependency Track est une plate-forme d'analyse de composants intelligente qui permet aux organisations d'identifier et de réduire les risques dans la chaîne d'approvisionnement des logiciels.
    • Bonne lecture sur la piste de dépendance
  • OSS-Review-Toolkit / Ort: une suite d'outils pour aider à examiner les dépendances logicielles open source.
  • Anchore / SYFT: outil CLI et bibliothèque pour générer une facture de matériaux logiciels à partir d'images de conteneurs et de systèmes de fichiers à partir de solutions de sécurité de la chaîne d'approvisionnement logiciels • Anchore
    • Remarque également: la nouvelle commande docker sbom crée des sboms en utilisant SYFT
    • Création d'attestations SBOM à l'aide de Syft et Sigstore
    • Flux simple: utils / ci / github / docker-build-sign-sbom à la main · marco-lancini / utils
  • Annonce: le scan est maintenant en mode de maintenance · Problème # 352 · SHIFTLEFTSECURITY / SAST-SCAN
  • Sécurité des conteneurs | Qualys, Inc.
  • Sécurité native d'Aqua Cloud, sécurité des conteneurs et sécurité sans serveur
  • Tern-Tools / Tern: Tern est un outil d'analyse de composition logicielle et une bibliothèque Python qui génère une facture de matériaux logiciels pour les images de conteneurs et Dockerfiles. Le SBOM que Tern génère vous donnera une vue de couche par couche de ce qui se trouve à l'intérieur de votre conteneur dans une variété de formats, notamment lisible par l'homme, JSON, HTML, SPDX et plus encore.
  • Rev-Products / C-SCRM-USE-Case à Master · RJB4Standards / Ref-Product de ce tweet
    • Voir également Energy SBOM Preuve de concept - INL
  • Phylum Analyser l'action PR: Action GitHub pour analyser les demandes de traction pour les problèmes de chaîne d'approvisionnement open source de Phylum | La société de sécurité de la chaîne d'approvisionnement du logiciel
  • Microsoft / Détection des composants: analyse votre projet pour déterminer les composants que vous utilisez
  • Naire 5 norme
  • Tagging Identification du logiciel (SWID) | CSRC et directives pour la création de balises d'identification logicielle interopérable (SWID)
  • Tags d'identification logicielle concises
  • Hughsie / Python-Uswid: Un petit outil pour intégrer les balises Coswid dans les binaires EFI
    • Voir aussi le fil
      • Et exemple pratique dans Coreboot
  • Ckotzbauer / SBOM-Operator: Catalogue toutes les images d'un cluster Kubernetes à plusieurs cibles avec SYFT
  • Gestion des problèmes de sécurité dans la sécurité des applications Dynatrace
  • Defecdojo / Django-DefectDojo: Defecdojo est un outil de gestion de la vulnérabilité DevSecops et de la vulnérabilité.
    • Liste impressionnante des intégrations avec des échantillons: Defecdojo / Sample-Scan-Files: Exemples de fichiers de numérisation pour tester les importations de défaut de Defecdojo
  • swingletree-os / swingletree: intégrer et observer les résultats de vos outils de pipeline CI / CD
  • Mercedes-Benz / Sechub: SECHUB - Un moyen central et facile d'utiliser différents outils de sécurité avec une API / Client
  • MarcingUy / BetterScan-CE: Code Scanning / Sast / Static Analysis / Linting Utilisation de nombreux outils / scanners avec un seul rapport (Code, IAC) - BetterScan Community Edition (CE)
  • BBVA / Susto: Orchestration de tests de sécurité universelle systématique
  • Appterreat / Rosa: une expérience qui semble très prometteuse jusqu'à présent.
  • Solution SBOM de Fossa
  • Rezillion dynamique sbom
  • OpenSBOM-Generator / SPDX-SBOM-Generator: Prise en charge de la génération de SBOMS via des outils Golang.
  • Outils SBOM de Tauruseer
  • Langues et manifestes soutenues de SOOS
  • Fortress: Jacon de matériel logiciel
  • Javixeneize / Yasca: encore un autre outil SCA
  • Cybeats SBOM Studio
  • Edgebitio / Edgebit-Build: GitHub Action pour télécharger SBOMS sur Edgebit et recevoir un contexte de vulnérabilité dans vos demandes de traction de EdgeBit - Sécurité de la chaîne d'approvisionnement en temps réel, permettant aux équipes de sécurité de cibler et de coordonner la remédiation de vulnérabilité sans labeur.
  • Guardian Point Man (SAG-PM)
  • Microsoft / SBOM-TOOL: L'outil SBOM est un outil très évolutif et prêt à l'entreprise pour créer SPDX 2.2 SBOMS compatibles pour toute variété d'artefacts
  • SCA de Veracode pour automatiser la numérisation de sécurité, voir Demo: Comment générer une facture de matériaux logiciels (SBOM) à l'aide de l'analyse de composition du logiciel Veracode
  • Enterprise Edition - Blubracket: Sécurité du code et détection secrète
  • Analyse de la composition logicielle (SCA) | Cyberres
  • Nexus Intelligence - Services de données Sonatype
  • Appterreat / DEP-SCAN: Audit de sécurité entièrement open source pour les dépendances du projet en fonction des vulnérabilités et des avis connus. Prend en charge à la fois des références locales et des images de conteneurs. S'intègre à divers environnements CI tels que les pipelines Azure, Circleci, Google CloudBuild. Aucun serveur requis!
  • SBS2001 / FATBOM: FATBOM (Fat Bill of Materials) est un outil qui combine le SBOM généré par divers outils en un seul SBOM. Tirant ainsi la force de chaque outil.
  • Docteur de bom sonatype
  • JHUTCHings1 / SPDX-TO-DESENDENCY-GRAPH-ACTION: Une action GitHub qui emmène SPDX SBOMS et les télécharge vers l'API de soumission de dépendance de GitHub aux alertes Power DefedAbot
    • Voir également: EVRYFS / SBOM-Dépendance-Action-Action: Soumettez SBOMS à l'API de soumission de dépendance de GitHub
    • Et les documents de soumission de dépendance
  • Tap8Stry / Orion: allez au-delà de la découverte du gestionnaire de packages pour SBOM
  • Patriksvenssson / Covenant: un outil pour générer SBOM (facture de matériel logiciel) à partir d'artefacts de code source.
  • Cyclonedx / Cyclonedx-webpack-plagin: Créer CyclonEdx Software Bill of Materials (SBOM) à partir de bundles WebPack au moment de la compilation.
  • Advanced-Security / GH-SBOM: Générez des SBoms avec GH CLI
  • Interlynk-io / sbomqs: score de qualité SBOM - métriques de qualité pour vos SBOM
  • ebay / sbom-scorecard: générez un score pour que votre SBOM comprenne s'il sera réellement utile.

Ressources plus intéressantes:

  • Brakeing Down Security Podcast: 2020-031-Allan Friedman, SBOM, Transparence du logiciel et savoir comment la saucisse est faite
  • Épisode 312: La légende du SBOM
  • Réinventer Cyber ​​Podcast: La vulnérabilité LOG4J fournit des leçons sévères dans les dépendances inconnues
  • Podcast de la dette technologique Série 1 E11: Allan Friedman et SBOMS
  • Sounil Yu sur SBOMS, Sécurité de la chaîne d'approvisionnement du logiciel - Conversations de sécurité
  • Explorer la sécurité. Criticité de SBOM. Scott McGregor, Cloud Security, Wind River
  • Down the Security Rabbithole Podcast: DTSR Episode 487 - La chaîne d'approvisionnement des logiciels est un BFD
  • Podcast d'analyse de composition logicielle: chaîne d'approvisionnement du logiciel - épisode 1
  • Mise à jour critique: savez-vous ce qu'il y a dans votre logiciel?
  • Bosse de matériel logiciel | Cisa
  • Cas d'utilisation SBOM - RKVST et RKVST SBOM HUB - RKVST
    • Lire aussi: SBOM HUB - Mappings d'attributs NTIA
  • BOF: SBOMS pour les systèmes embarqués: qu'est-ce qui fonctionne, qu'est-ce qui ne fonctionne pas? - Kate Stewart, Fondation Linux
  • Tout à propos de cette bom, «Bom - Melba Lopez, Ibm
  • OWASP CyclonEdx lance l'API SBOM Exchange
  • Lire: SBOM Management | Six façons d'empêcher l'étalement SBOM
  • Lire: NTIA est les éléments minimums pour une facture de matériel logiciel
  • Lire: Ce qu'un SBOM peut faire pour vous

Quelques projets open source documentent, en public, comment ils acquièrent des dépendances. Cet exemples intentionnels, payables humains et longs peut être illustratif:

  • Envoy / Dependency_policy.md à Main · Envoyproxy / Envoy
  • Ce que Curl attend des dépendances
  • Sécurité: la valeur de SBOMS du flux

Échange d'informations sur la vulnérabilité

  • OSV
    • Lire: SBOM en action: trouver des vulnérabilités avec une facture de matériel logiciel
    • Connexes: SPDX / SPDX-TO-OSV: Produisez un fichier JSON de vulnérabilité open source basé sur des informations dans un document SPDX
    • Outils: Google / OSV-scanner: scanner de vulnérabilité écrit en Go qui utilise les données fournies par https://osv.dev
  • Pipeline de détection de vulnérabilité de Qualys
  • VULS · Scanner de vulnérabilité sans agent pour Linux / FreeBSD
  • Base de données de vulnérabilité, une API est également disponible; Voir vuldb
  • Appterreat / vulnérabilité-DB: base de données de vulnérabilité et recherche de packages pour des sources telles que OSV, NVD, GitHub et NPM.
  • Aquasecurity / Trivy: scanner pour les vulnérabilités dans les images de conteneurs, les systèmes de fichiers et les référentiels GIT, ainsi que pour les problèmes de configuration
  • Sast pour la sécurité du code | Code snyk
    • Voir aussi: Choisir les bibliothèques open source de SNYK
  • Édition communautaire de contraste
  • Catalogue des vulnérabilités exploitées connues | Cisa
  • CVE-SEARCH / CVE-SEARCH: CVE-SEARCH - Un outil pour effectuer des recherches locales de vulnérabilités connues
  • EXEIN-IO / KEPLER: magasin de recherche CVE basé sur NIST et API alimentées par Rust
  • NEXB / VulnerableCode: un travail en cours vers une base de données de vulnérabilités gratuite et ouverte et les packages qu'ils ont un impact. Et les outils pour agréger et corréler ces vulnérabilités. Parrainé par Nlnet https://nlnet.nl/project/vulnerabilitéDatabase/ pour https://www.aboutcode.org/ chat à https://gitter.im/aboutcode-org/vulnerablecode
  • TOLLSWATCH / VFEED: L'API de base de données de vulnérabilité et de renseignement sur les menaces corrélées
  • OSSF / SCORECARD: SCATECTARDS DE SÉCURITÉ - Sécurité Métriques pour la santé des open source, OpenSSF Metrics et OSSF / Security-Reviews: A Community Collection of Security Reviews of Open Source Software Components.
    • OSSF / Scorecard-Action: Action officielle de GitHub pour les tableaux de bord OSSF.
      • Remarque: Comment l'action GitHub Action V2 d'OpenSSF utilise GitHub OIDC avec Sigstore
    • Opense également les spécifications de la sécurité
    • Lire: Comment les tableaux de bord OpenSSF peuvent aider à évaluer les risques logiciels open source
    • Grand Exemple de la vie réelle: Référentiels Github de la Fondation Eclipse
  • LYNIS - outil d'audit de sécurité et de durcissement pour Linux / Unix
  • victimes / victimes-CVE-DB: boutique de base de données CVE
  • Anchore / grype: un scanner de vulnérabilité pour les images de conteneurs et les systèmes de fichiers
    • Voir également utiliser GRYP pour identifier les vulnérabilités d'action GitHub
    • Et GRYPE SUPPORTE maintenant les normes CyclonEdx et SPDX
  • Base de données consultative GitHub maintenant ouverte aux contributions communautaires
  • Groupe de travail de la base de données de sécurité mondiale | CSA, voir également CloudSecurityalliance / GSD-Database: Global Security Database
  • Trickst / CVE: Rassemblez et mettez à jour tous les CVE disponibles et les plus récents avec leur POC.
  • RFC 9116: un format de fichier pour aider à la divulgation de la vulnérabilité de sécurité
  • Un exercice AOSP vuln-Commit: QuarksLab / AOSP_DATASET: un ensemble de données de vulnérabilité précis de grande entier basé sur AOSP CVE
    • Ensemble de données de vulnérabilité de niveau de niveau
  • NYPH-Infosec / Daggerboard
  • DaviShay / Vulnscan: Vulnérabilité Scanner Suite basée sur Grype et Syft d'Anchore
  • DevOps-Kung-Fu / Bomber: SCANS SBOMS pour les vulnérabilités de sécurité
  • Fortress: gestion de la vulnérabilité
  • Gestion de la vulnérabilité | adolu
  • SecVisogram / SecVisogram: SecVisogram est un outil Web pour créer et éditer des avis de sécurité au format CSAF 2.0
  • Future-Architect / VULS: Scanner de vulnérabilité sans agent pour Linux, FreeBSD, conteneur, WordPress, bibliothèques de langues de programmation, appareils réseau
  • Infobyte / Faraday: plateforme de gestion de vulnérabilité open source de Faraday - Community V4 Release
  • Mitre / SAF: L'interface de ligne de commande de la sécurité de la sécurité de Mitre (SAF) rassemble des applications, des techniques, des bibliothèques et des outils développés par Mitre et la communauté de sécurité pour rationaliser l'automatisation de la sécurité pour les systèmes et les pipelines DevOps
  • DevOps-Kung-Fu / Bomber: SCANS Software Bill of Materials (SBOMS) for Security Vulnerabilities
  • Rezilion / MI-X: Déterminez si votre calcul est vraiment vulnérable à une vulnérabilité spécifique en tenant compte de tous les facteurs qui affectent l'exploitabilité réelle (exécution d'exécution, configuration, autorisation, existence d'une atténuation, OS, etc.)
  • OSSF-CVE-Benchmark / OSSF-CVE-Benchmark: La référence OpenSSF CVE se compose de code et de métadonnées pour plus de 200 CVE de la vie réelle, ainsi que d'outillage pour analyser les bases de code vulnérables en utilisant une variété d'outils de test de sécurité d'analyse statique (Sast) et générer des rapports pour évaluer ces outils.
  • Voir la gestion de la vulnérabilité dans les documents Neuvector pour des exemples d'intégration dans les scénarios de conteneurs
  • NOQCKS / XEOL: Un scanner de package de fin de vie (EOL) pour les images, systèmes et SBOM
  • MCHMARNY / VIMP: Comparez les données de plusieurs scanners de vulnérabilité pour obtenir une image plus complète des expositions potentielles.

Une section dédiée sur Vex se lit comme suit:

  • Cyclonedx - Échange d'exploitabilité de vulnérabilité (VEX)
    • Échange d'exploitabilité de la vulnérabilité expliquée: comment Vex rend SBOMS exploitable
    • Comment Vex aide SBOM + SLSA à améliorer la visibilité de la chaîne d'approvisionnement | Blog Google Cloud
    • Qu'est-ce que Vex et qu'est-ce que cela a à voir avec SBOMS?
    • Qu'est-ce que Vex? C'est l'échange d'exploitabilité de la vulnérabilité!
    • La norme d'échange d'exploitabilité de vulnérabilité (VEX)
    • Vex et SBOMS
    • VDR ou VEX - que dois-je utiliser? Partie 1
    • VEXER! Ou ... comment réduire le bruit de CVE avec une simple astuce! par Frederick Kautz
    • Échange d'exploitabilité de la vulnérabilité (VEX) - Justifications de statut
  • Vex en temps réel

Voir également:

  • Vulncode-DB sur le chemin de dépréciation
  • Github apporte des fonctionnalités de sécurité de la chaîne d'approvisionnement à la communauté de la rouille
  • Cycognito adopte la cartographie de l'att & ck à CVE pour l'impact
  • Lire: Un examen plus approfondi des scores CVSS, Patch Madness: les avis de bugs du fournisseur sont cassés, donc cassés et un regard incomplet sur les bases de données de vulnérabilité et les méthodologies de notation
  • Lire: Comment analyser un SBOM et comment générer et héberger des sboms à partir de nuages
  • Lire: Après l'avis de l'équipe Open Source Insights de Google

Validations de points d'utilisation

Cette section comprend: les politiques d'admission et d'ingestion, la vérification du temps de traction et les vérifications de l'utilisateur final.

  • Kyverno
    • Lire: Attribuer des analyses d'image avec Kyverno
      • Et: gérer les politiques de Kyverno en tant qu'artefacts OCI avec des sources OCIROSOSITOIRES
    • Aussi: TestifySec / Judge-K8S: Preuve de concept Kubernetes Controller d'admission à l'aide de la bibliothèque de vérification d'attestation des témoins
  • Ckotzbauer / SBOM-Operator: Catalogue toutes les images d'un cluster Kubernetes à plusieurs cibles avec SYFT
  • ConnaisSEUR - Vérifiez les signatures d'image du conteneur à Kubernetes
  • Sigstore / Policy-contrôleur: le contrôleur d'admission de politique utilisé pour appliquer la politique sur un cluster sur les métadonnées de chaîne d'approvisionnement vérifiables de Cosign.
    • Voir également: Lukehinds / Policy-Controller-Demo: Demo de la signature sans clé avec le contrôleur de stratégie Sigstore Kubernetes
  • Portieris / Policies.md sur Main · IBM / Portieris
  • Reproductible-Containers / Repro-Get: Reproductible APT / DNF / APK / PACMAN, avec contenu-adresse
  • Kpcyrd / Pacman-Bintrans: transparence binaire expérimentale pour Pacman avec Sigstore et Rekor
    • Voir également: kpcyrd / apt-swarm :? Réseau de potins P2P pour la mise à jour de la transparence, basé sur PGP?
  • Agent de politique ouverte
  • Conftest permet d'écrire des tests contre les données de configuration structurées à l'aide du langage de requête Rego de l'agent de politique ouverte: voici un exemple
  • Plusieurs crochets de pré-engagement permettent la vérification de la vulnérabilité juste avant le temps d'ingestion de dépendance dans la base de code
    • Par exemple, Pyupio / Sécurité: la sécurité vérifie vos dépendances installées pour les vulnérabilités de sécurité connues
      • Ou NPM-AUDIT
        • Voir également SNYK-LABS / SNYNC: IMITATION Les préoccupations de sécurité de la dépendance des risques de sécurité de la chaîne d'approvisionnement de la dépendance
        • Et Liantal / LockFile-lint: peluche d'un NPM ou de verrouillage de fil pour analyser et détecter les problèmes de sécurité
      • Ou requier.io | Surveillez vos dépendances
      • Ou Brakeman Security Scanner
      • Ou TrailOfBits / Pip-Audit: Audits Environnements Python et arbres de dépendance pour les vulnérabilités connues
        • Voir également: les alertes dépendantes de dépendance font maintenant surface si votre code appelle une vulnérabilité
        • Et: Utilisez Data-Dist-Info-Metadata (PEP 658) pour découpler la résolution à partir du téléchargement par Cosmicexplorer · Pull Demande # 11111 · Pypa / Pip
      • Projet intéressant lié à Python: Project Thoth, en utilisant l'intelligence artificielle pour analyser et recommander des piles de logiciels pour les applications Python
      • Ou CheckMarx / Chainjacking: trouvez lequel de vos dépendances GO Lang Direct Github est sensible à l'attaque de jacking
      • Ou Cargo Vet et CREV-DEV / Cargo-Crev: un système de révision de code cryptographiquement vérifiable pour le gestionnaire de package Cargo (Rust).
      • Non automatisée de validation, mais des conseils complets pour Java avec quelques points critiques relatifs à la sécurité de la chaîne d'approvisionnement: les meilleures pratiques Google pour les bibliothèques Java
  • L'analyse statique est souvent utilisée à ce stade afin de détecter l'acquisition de la dépendance, par exemple:
    • Semgrep
      • Début avec la chaîne d'approvisionnement de Semgrep
      • Voir également: Assurer les vulnérabilités de sécurité avec Semgrep
    • graudit / signatures chez Master · Wireghoul / Graudit
    • Banyanops / Collecteur: un cadre pour l'analyse statique des images de conteneurs Docker
    • Quay / Clair: Analyse statique de vulnérabilité pour les conteneurs
    • Datadog / GuardDog: GuardDog est un outil CLI pour identifier les packages PYPI et NPM malveillants
    • Eliasgranderubio / Dagda: un outil pour effectuer une analyse statique des vulnérabilités connues, des chevaux de Troie, des virus, des logiciels malveillants et d'autres menaces malveillantes dans les images / conteneurs Docker et pour surveiller le démon Docker et exécuter des conteneurs Docker pour détecter les activités anormales
      • À moitié brillant, à moitié drôle, complet utile: KPCYRD / LibreDeFender: Imaginez la directive de conformité de la sécurité de l'information dit que vous avez besoin d'un antivirus mais vous exécutez Arch Linux
    • KICS - Garder l'infrastructure comme code sécurisé
    • Tinkerbell / Ped-Install: Installez systématiquement des règles de linter raisonnables pour les projets open-source
    • hadolint Règles sur l'installation du package, par exemple, hadolint / readme.md à d16f342c8e70fcffc7a788d122a1ba602075250d · hadolint / hadolint
      • Également les analyses de ressources DockerFile - Checkov de BridgeCrewio / Checkov: Empêchez les erreurs de configuration des cloud pendant la construction du temps pour terraform, cloudformation, kubernetes, framework sans serveur et autres infrastructures en tant que code avec Checkov par BridgeCrew.
      • Et: XLAB-SI / IAC-SCAN-RUNNER: Service qui scanne votre infrastructure comme code pour les vulnérabilités communes
      • Et: AWS-Samples / Automated-Security-Helper1
  • Évaluation de la vulnérabilité | Portail OpenScap
  • Détection Log4Shell avec wazuh
  • Aquasecurity / tribord: boîte à outils de sécurité native de Kubernetes
    • Commencez avec Kubernetes Security et tribord
  • ARMOSEC / KUBESCAPE: Kubscape est un outil open source K8S offrant un vitrage unique K8S multi-cloud, y compris l'analyse des risques, la conformité à la sécurité, le visualiseur RBAC et les vulnérabilités d'image.
    • Aussi: Extension de code Visual Studio Kubescape Visual Studio
  • CKOTZBAUER / Vulnérabilité-opérateur: SCANS SBOMS for Vulnérabilités
  • Chen-Keinan / Kube-Beacon: Scanner d'exécution open source pour le cluster K8S et effectuer des vérifications d'audit de sécurité basées sur la spécification de référence CIS Kubernetes
  • Aquasecurity / Kube-Bench: vérifie si Kubernetes est déployé en fonction des meilleures pratiques de sécurité telles que définies dans la référence CIS Kubernetes et Aquasecurity / Kube-Hunter: Chasse pour les faiblesses de sécurité dans Kubernetes Clusters
  • OpenClarity / Kubeclarity: Kubeclarity est un outil de détection et de gestion de la facture de matériaux logiciels (SBOM) et des vulnérabilités des images de conteneurs et des systèmes de fichiers
  • Stackrox / Stackrox: La plate-forme de sécurité Stackrox Kubernetes effectue une analyse des risques de l'environnement de conteneur, offre des alertes de visibilité et d'exécution et fournit des recommandations pour améliorer de manière proactive la sécurité en durcissant l'environnement.
  • CloudQuery / Plugins / Source / K8S / Politiques chez Main · CloudQuery / CloudQuery
  • Quarkslab / KDigger: Kubernetes Container Évaluation des conteneurs et outil de découverte de contexte pour les tests de pénétration
  • OSSILLATE-INC / PACKJ: L'outil de vérification derrière notre plate-forme d'analyse de sécurité à grande échelle pour détecter les packages open-source malveillants / risqués et Packj | Un outil de vérification pour éviter les packages "risqués"
  • DOOWON / SIGTOOL: Sigtool pour les fichiers PE signés dans Go
  • Présentation de "SAFE NPM", un wapin de socket NPM - Prise
  • Présentation du vétérinaire SafeDEP | S'attaquer à

Voir également:

  • Analyse-Tools-DEV / Analyse statique: une liste organisée des outils d'analyse statique (SAST) pour tous les langages de programmation, les fichiers de configuration, les outils de construction, etc.
  • Anderseknert / Awesome-Opa: une liste organisée d'outils, de frameworks et d'articles liés à l'OPA
  • Jupiterone / SECOPS-Automation-Exemples: Exemples sur la façon de maintenir la sécurité / la conformité en tant que code et d'automatiser SECOPS à l'aide de la plate-forme Jupiterone.
    • Comment nous générons une facture de matériaux logiciels (SBOM) avec CyclonEdx
  • Sécuriser les pipelines CICD avec stackrox / rhacs et sigstore
  • REGARDER: Faites-vous confiance à votre gestionnaire de packages? au Sécurité Fest 2022

Chaîne d'approvisionnement au-delà des bibliothèques

Et quelques choses à surveiller au-delà des bibliothèques et des dépendances logicielles:

  • Transparence du système | Architecture de sécurité pour les serveurs à métal nu
  • Profils d'hôtes imités dans FWUPD
  • GNOME pour avertir les utilisateurs si Secure Boot Disabled, préparant une autre aide à la sécurité du micrologiciel
  • Projet d'auto-protection du noyau - Sous-système de sécurité du noyau Linux
  • KeyLime / KeyLime: un projet CNCF pour bootstrap et maintenir la confiance sur le bord / le cloud et l'IoT
  • Parallaxsecond / parsec: Abstraction de la plate-forme pour le service de sécurité
  • TPM Carte Blanche résistant à l'attestation

Identité, signature et provenance

Cette section comprend: Projets et discussions spécifiques à l'identité du développeur, à l'OIDC, aux clés et à des sujets connexes.

  • Partie de Sigstore
    • Cosignoir
    • Fulcio
    • Raviver
    • Voir également: Kubernetes tape Sigstore pour contrecarrer les attaques de la chaîne d'approvisionnement des logiciels open source
    • Vue spécifique à Sigstore du paysage OpenSSF
  • service d'attestation CAS - CAS
  • Témoin - TestifySec / Témoin: Le témoin est un cadre enfichable pour la gestion des risques de la chaîne d'approvisionnement des logiciels. Il automatise, normalise et vérifie la provenance des artefacts logiciels.
    • Regarder: sécuriser la chaîne d'approvisionnement avec témoin - Cole Kennedy, Testifysec
    • Voir également: TestifySec / Go-IMA: Go-IMA est un outil qui vérifie si un fichier a été falsifié. Il est utile pour assurer l'intégrité des systèmes CI
  • PUERCO / Tejolote: un exécuteur et un observateur de construction hautement configurables conçus pour générer des attestations de provenance SLSA signées sur les cycles de construction.
  • In-Toto-run - Github Marketplace et In-Toto / Github-action: Provenance In-Toto Github Action
  • Disponibilité générale du générateur générique SLSA3 pour les actions GitHub
    • SLSA-Framework / Slsa-Github-Generator: Langue-Amnostic SLSA Provenance Génération pour les actions GitHub
    • Voir également: Artisanat d'attestation | Documentation de la boucle de chaîne
  • Technosophos / Helm-GPG: Signette et vérification du graphique avec GNUPG pour Helm.
  • CashApp / Pivit est un outil de ligne de commande pour gérer les certificats X509 stockés sur des cartes à puce avec une prise en charge de l'applet PIV qui est entièrement compatible avec git
  • NotaryProject / Notary: Notary est un projet qui permet à quiconque d'avoir confiance sur les collections arbitraires de données
    • notaryproject / feuille de route: feuille de route pour notaryv2
    • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
    • notaryproject/tuf: The Update Framework for OCI Registries
      • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
      • Also see How to easily try out TUF + in-toto
      • Check out Python-TUF reaches version 1.0.0
      • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
      • Read: Secure Software Updates via TUF — Part 2
  • deislabs/ratify: Artifact Ratification Framework
  • latchset/tang: Tang binding daemon
  • ietf-rats - Overview
  • An exposed apt signing key and how to improve apt security
  • See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
    • Another witness example with GitLab
  • Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
  • aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
  • Read: Monitoring the kernel.org Transparency Log for a year
  • Also read: Software Distribution Transparency and Auditability
  • paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
    • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
  • johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
  • oras-project/artifacts-spec
  • recipy/recipy: Effortless method to record provenance in Python
  • spiffe/spire: The SPIFFE Runtime Environment
  • Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
  • google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
  • Artifactory - Universal Artifact Management
  • pyrsia/pyrsia: Decentralized Package Network
  • transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
  • Watch: Privacy-preserving Approaches to Transparency Logs

Frameworks and best practice references

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

  • in-toto | A framework to secure the integrity of software supply chains
  • Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
    • Great read: SLSA | CloudSecDocs
    • Another L50 read: Building trust in our software supply chains with SLSA
    • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
      • Also, a framework mapping put together by Red Hat
    • A Practical Guide to the SLSA Framework by FOSSA
    • Read: Securing Gitpod's Software Supply Chain with SLSA
    • Read: A First Step to Attaining SLSA Level 3 on GitHub
    • And a pattern search across GitHub for inspiration (thanks @infernosec)
  • OWASP Application Security Verification Standard, esp. V14 - Configuration
  • OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
  • CREST launches OWASP Verification Standard (OVS)
  • SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
  • SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
    • Related: A MAP for Kubernetes supply chain security
  • Software Supply Chain Risk Management | BSIMM
  • microsoft/scim: Supply Chain Integrity Model
    • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
  • Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
    • Also Comply with NIST's secure software supply chain framework with GitLab
  • The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
  • SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
  • npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
  • CIS Software Supply Chain Security Guide
  • microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
  • GitHub's Implementing software security in open source
  • Previously referenced: Google Best Practices for Java Libraries
  • MITRE's System of Trust
  • Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
  • OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
  • Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

  • Zero Trust the Hard Way, Kelsey Hightower
  • KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
  • Supply Chain Risk Management

Build techniques

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

  • Reproducible Builds, particularly the Documentation
    • rb ecosytem mapping
    • Reproducible Builds / reprotest
    • Is NixOS Reproducible?
  • Bootstrappable Builds (GNU Mes Reference Manual)
    • Also read Bootstrappable builds from LWN
  • tektoncd/chains: Supply Chain Security in Tekton Pipelines
    • Verifiable Supply Chain Metadata for Tekton - CD Foundation
  • google/santa: A binary authorization system for macOS
  • fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
  • kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
    • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
  • kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
  • tag-security/sscsp.md at main · cncf/tag-security
  • defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
  • Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
    • Example using SBOM as an input: Inputs - Hoppr
  • On instrumenting runners:
    • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
    • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
  • reposaur/reposaur: Open source compliance tool for development platforms.
  • buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
  • chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
    • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
  • aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database | Aqua Security
  • ossf/allstar: GitHub App to set and enforce security policies
  • scribe-public/gitgat: Evaluate source control (GitHub) security posture
  • Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
  • crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
  • wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
  • oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
  • jart/landlock-make: Sandboxing for GNU Make has never been easier
    • Read: Using Landlock to Sandbox GNU Make
  • veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
  • Changelog for Pants 2: The ergonomic build system
  • Bazel is an open source build and test tool similar to Make, Maven, and Gradle
  • GoogleContainerTools/kaniko: Build Container Images In Kubernetes
  • sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
  • buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
  • eellak/build-recorder
    • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

  • The reproducible-builds topic on GitHub
  • Dependency management as part of Google Cloud's Artifact Registry documentation
  • Security hardening for GitHub Actions
    • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
  • Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
  • Code Sight
  • cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
    • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
  • Read: What Makes a Build Reproducible, Part 2
  • Read: Building a Secure Software Supply Chain with GNU Guix
  • alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
  • Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
  • Read: Reproducible Builds: Break a log, good things come in trees
  • Secure Your Software Factory with melange and apko
    • On the apko pattern, see Shopify/hansel
  • kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

Talks, articles, media coverage and other reading

Getting started and staying fresh

  • A few resources, in addition to this repository, that can help keep up with news and announcements:
    • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
    • tl;dr sec Newsletter
    • Past Issues | CloudSecList
    • News - reproducible-builds.org
    • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
    • A visual reference by Enso Security: AppSec Map
    • A similar one: Jetstack | The Software Supply Chain Toolkit
    • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
    • A toolbox for a secure software supply chain from Chainguard
    • The Technology chapter in Snyk's DevSecOps series
    • A helpful list of acronyms: Acronyms | OpenSCAP portal
    • slsa/terminology.md at main · slsa-framework/slsa
    • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
    • Watch: How to start learning about Supply Chain Security
    • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

  • Secure Software Development Fundamentals Courses - Open Source Security Foundation
    • Securing Your Software Supply Chain with Sigstore
  • Census II of Free and Open Source Software — Application Libraries
  • “Chain”ging the Game - how runtime makes your supply chain even more secure
  • How to attack cloud infrastructure via a malicious pull request
  • The Challenges of Securing the Open Source Supply Chain
  • What is a Software Supply Chain Attestation - and why do I need it?
  • Open Policy Agent 2021, Year in Review
  • Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
  • The state of software bill of materials: SBOM growth could bolster software supply chains
  • Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
    • Secure Software Supply Chains
  • A few resources to understand supply chain compromises:
    • Supply Chain Compromise - attackics
    • tag-security/supply-chain-security/compromises at main · cncf/tag-security
    • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
    • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
      • Endor Labs' version: Risk Explorer for Software Supply Chains
      • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
    • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
    • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
    • ossf/oss-compromises: Archive of various open source security compromises
    • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
    • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
    • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects. Retour bienvenue!
  • Improving TOFU (trust on first use) With Transparency
  • Reports:
    • 2022 State of Cloud Native Security Report - Palo Alto Networks
    • 2022 Software Supply Chain Security Report • Anchore
  • End-to-end demos and examples:
    • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
    • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
  • Using SARIF to Extend Analysis of SAST Tools
  • GitLab's Software Supply Chain Security section
    • Also read GitLab's Software Supply Chain Security Direction
  • GitHub's SARIF support for code scanning
  • Driving Developer Productivity via Automated Dependency Tracking
  • Code scanning finds more vulnerabilities using machine learning
  • Securing Open Source Software at the Source
  • Security: The Value of SBOMs
  • Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
  • SBOMs in the Windows Supply Chain, from the SPDX User Group
  • Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
  • Binary Authorization for Borg: how Google verifies code provenance and implements code identity
  • Application Security Weekly (Video) on Apple Podcasts
  • How to prioritize the improvement of open source software security
    • And Strengthening digital infrastructure: A policy agenda for free and open source software
  • Software Supply Chain Security Turns to Risk Mitigation
  • Reproducible Builds: Increasing the Integrity of Software Supply Chains
  • sigstore/community: General sigstore community repo
  • CycloneDX Use Cases
    • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
  • Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
  • Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
  • The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
  • Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
  • Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
  • Watch: The state of open source security in 2022 with Kurt Seifried
  • Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
  • EO 14028 and Supply Chain Security
  • Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
  • Open Source Security Foundation (OpenSSF) Security Mobilization Plan
  • Not Just Third Party Risk
  • Open Source Security: How Digital Infrastructure Is Built on a House of Cards
  • Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
  • Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
  • Supply Chain Security for Cloud Native Java (from Thomas Vitale)
  • Podcast: It Depends with Trail of Bits
  • New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
  • Software Supply Chain Primer v0.93 (June 2022)
Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout