awesome software supply chain security

Kompilasi sumber daya dalam domain keamanan rantai pasokan perangkat lunak, dengan penekanan pada open source.

• Awesome-software-supply-chain-security
  • Tentang daftar ini
  • Kecerdasan ketergantungan
    • SCA dan SBOM
    • Pertukaran Informasi Kerentanan
  • Validasi titik penggunaan
    • Rantai pasokan di luar perpustakaan
  • Identitas, penandatanganan dan asal
  • Kerangka kerja dan referensi praktik terbaik
  • Membangun teknik
  • Pembicaraan, artikel, liputan media, dan bacaan lainnya
    • Memulai dan tetap segar

Tidak ada taksonomi yang ditentukan untuk domain ini. Daftar ini tentu akan memiliki beberapa tumpang tindih dengan disiplin dan kategori seperti devsecops, SAST, SCA dan banyak lagi.

Repo sintesis rantai pasokan menawarkan pembacaan yang panjang tentang mengapa itu masalahnya, ditambah petunjuk bermanfaat untuk memahami dan menavigasi saat berkembang.

Untuk awesome-software-supply-chain-security kami mengambil pendekatan tingkat tinggi berikut: aktor yang berbeda dalam rantai pasokan berkontribusi pengesahan terhadap unsur-unsur yang diwakili dalam rantai.

Dalam tampilan proses-sentris ini, pengesahan dipancarkan , ditambah (misalnya, selama komposisi) dan diverifikasi .

Cara lain untuk melihat ini dijelaskan di sini oleh Josh Bressers, dan inilah contoh naratif di alam liar dari Spotify

Menggunakan lensa ini kita dapat mengidentifikasi sekelompok besar "subjek" (dependensi), kategori "fakta" yang berbeda (lisensi atau kerentanan) dan peran spesifik identitas, sumber dan sistem pembangunan. Ini adalah alasan di balik judul saat ini, yang diharapkan berkembang dengan domain.

Contoh lain dari proses yang sedang berlangsung untuk menentukan domain termasuk menambahkan desain buruk sebagai skenario rantai pasokan · masalah #249 · slsa-framework/slsa dan bagaimana slsa masuk ke dalam keamanan rantai pasokan yang lebih luas? · Masalah #276 · SLSA-Framework/SLSA. Lihatlah tweet ini dari Aeva Black dengan Dan Lorenc untuk tampilan lain dari beberapa proyek utama.

Bagian ini meliputi: manajemen paket, manajemen perpustakaan, manajemen ketergantungan, manajemen ketergantungan vendor, pencarian by-hash, paket, penamaan perpustakaan dan ketergantungan, pelabelan perilaku perpustakaan, penerbitan perpustakaan, pendaftar dan repositori, gerbang penerbitan dan pemindaian, siklus hidup ketergantungan.

• Wawasan Sumber Terbuka
• GUACSEC/GUAC: Metadata Keamanan Perangkat Lunak agregat GuaC ke dalam basis data grafik Fidelity Tinggi.
• Paket-url/purl-spec: spesifikasi minimal untuk purl alias. URL paket "kebanyakan universal", bergabunglah dengan diskusi di https://gitter.im/package-url/lobby
• Layanan online yang membantu memahami apa ketergantungan spesifik, atau setidaknya apakah diketahui (biasanya memberinya pengidentifikasi paket, seperti purl , CPE atau bentuk ecosystem:name:version , atau sebagai alternatif melalui hash):
  • NSRL: Hash untuk perangkat lunak COTS, terintegrasi dengan baik dalam perkakas dari SLEUTHKIT/HFIND ke NSRLLOOKUP
  • Sumber yang dapat ditanya melalui API publik (http dan dns!) Dan bisa lebih terbuka-source-sadar adalah circl hashlookup
  • Repologi memiliki cakupan legendaris untuk paket Linux di beberapa distribusi; Repologi-updater dan potongan infrastruktur lainnya adalah open source. Ini menyediakan pembaruan untuk wikidata yang juga memiliki sifat menarik untuk domain keamanan rantai pasokan.
  • Metadata Repositori Eksternal Debian
  • Tidelift's Libraries.io menyediakan API dan mendukung lebih dari 30 ekosistem paket (dan beberapa alat sumber terbuka yang berguna)
  • Agen terpadu Whitesource juga menawarkan beberapa kemampuan pencocokan file canggih
  • Proyek Warisan Perangkat Lunak memiliki kemampuan konsumsi besar -besaran dan menawarkan API yang dapat secara efisien memeriksa apakah hash diketahui, dan memberikan informasi tertentu pada file jika demikian
    • Lihat juga SWH Scanner Cli
  • Hashdd - Hash Cryptographic yang Dikenal
  • Ditefinasikan dengan jelas memberikan informasi lisensi untuk komponen open source, mengingat koordinatnya
  • LGTM - Platform Analisis Kode untuk menemukan dan mencegah kerentanan memungkinkan pencarian secara manual dengan github repo
  • Direktori Transparansi Biner menawarkan API yang memungkinkan untuk mencari paket dengan hash dan atribut lainnya
    • Bacaan terkait entah bagaimana adalah paruh kedua dari bagaimana cloudflare memverifikasi kode WhatsApp yang berfungsi untuk pengguna
    • Dan integritas subresource
    • Jangan bingung dengan bacaan legendaris tentang transparansi biner
• Untuk input yang diperoleh misalnya, melalui curl :
  • Spectralops/Preflight: Preflight membantu Anda memverifikasi skrip dan executable untuk mengurangi rantai serangan pasokan seperti peretasan codecov terbaru.
  • Apiaryio/Curl-Trace-Parser: Parser untuk Output dari Opsi Curl --trace
    • Curl Trace Attestor · Masalah #139 · Testifysec/Saksi
  • Teman Jangan Biarkan Teman Curl | Pesta
    • Dan pengemasan yang cukup menarik dari Curl | Bash dan barang -barang liar lainnya. Oleh Jordansissel · Permintaan Tarik #1957 · Jordansissel/FPM
  • Falco
  • Aquasecurity/Tracee: Linux Runtime Security dan Forensik Menggunakan EBPF
  • AuLIINETOOLS/BANE: Generator Profil Apparmor Kustom & Lebih Baik untuk Wadah Docker.
  • Kontainer/OCI-SECCOMP-BPF-HOOK: OCI Hook untuk melacak syscall dan menghasilkan profil SECCOMP
  • Bottlerocket-OS/Hotdog: Hotdog adalah satu set kait OCI yang digunakan untuk menyuntikkan patch panas log4j ke dalam wadah.
• Deepfence/Ancaman: Platform Open Source Cloud Native Security Observability. Linux, K8S, AWS Fargate dan banyak lagi.
• periksa ketergantungan
• OSSF/Paket-Analisis: Analisis Paket Sumber Terbuka dan OSSF/Paket-Feeds: Parsing Umpan untuk Pembaruan Manajer Paket Bahasa
  • Terkait: Memperkenalkan Analisis Paket: Memindai paket sumber terbuka untuk perilaku jahat
  • Juga otomatisasi keamanan Argo dengan oss-fuzz, meningkatkan keamanan dengan fuzzing lansekap CNCF dan Google/OSS-FUZZ: OSS-FUZZ-Continuous Fuzzing untuk perangkat lunak sumber terbuka.
  • Dan clusterfuzzlite
  • Untuk node.js: codeIntelligencetesting/jazzer.js: dipandu cakupan, dalam proses fuzzing untuk node.js
  • Juga, meskipun bisa dibilang lebih dalam ranah observabilitas aplikasi, Intellabs/Control-Flag: sistem untuk menandai ekspresi kode sumber anomali dengan mempelajari ekspresi khas dari data pelatihan
• Abhisek/pasokan-rantai-keamanan-Gateway: Arsitektur referensi dan bukti implementasi konsep untuk gateway keamanan rantai pasokan
• CUGU/GOCAP: Sebutkan kemampuan ketergantungan Anda dan monitor jika pembaruan membutuhkan lebih banyak kemampuan.
• Mate: Analisis Program Interaktif dengan Grafik Properti Kode dan Lihat Galoisinc/Mate: Mate adalah serangkaian alat untuk analisis program interaktif dengan fokus pada perburuan bug dalam kode C dan C ++ menggunakan grafik dan dokumen properti kode
• CheckMarx/Chainalert-Github-action: Memindai paket dan peringatan populer dalam kasus ada kecurigaan pengambilalihan akun
• Yayasan Keamanan Sumber Terbuka (OpenSSF) Proyek Alpha-omega
• Soket - Temukan dan bandingkan jutaan paket open source, fokus pada JavaScript
• Difoskop: Perbandingan mendalam tentang file, arsip, dan direktori
• RedHatProductSecurity/Component-Registry: Component Registry (CORGI) Agregat data komponen di seluruh produk yang didukung Red Hat, layanan terkelola, dan layanan pipa produk internal.
• OSS Insight, ditenagai oleh TIDB Cloud, adalah alat wawasan yang dapat membantu Anda menganalisis secara mendalam setiap repositori/pengembang gitub tunggal, membandingkan dua repositori menggunakan metrik yang sama, dan memberikan wawasan open source yang komprehensif, berharga, dan tren.
• Mengumumkan beta pribadi kecerdasan risiko fossa
• Dari proyek | Yayasan Transparansi Perangkat Lunak, lihat OSSKB | Inventarisasi Sumber Terbuka Gratis
  • Dan khususnya: scanoss.py/package.md di main · scanoss/scanoss.py
• Hub Artefak, Menampilkan Laporan Keamanan Paket dan juga memverifikasi dengan COSIGN
• crt.sh | Pencarian Sertifikat
• grep.app | Pencarian Kode
• Pencarian Kode GitHub
• kode pencarian | mesin pencari kode sumber
• SourceGraph dari SourceGraph
• Kontributor Open-Source Onboard di Open Source Hub, lihat contoh Docker-Slim di Codesee
• Pemeriksa Kode dari Snyk
• Mulai - Fosologi
• CVE-Search/Git-Vuln-Finder: Menemukan Kerentanan Perangkat Lunak Potensial Dari Pesan Git Commit
• Chaoss/Augur: Perpustakaan Python dan Layanan Web untuk Kesehatan Perangkat Lunak Open Source dan Metrik Keberlanjutan & Pengumpulan Data. Anda dapat menemukan dokumentasi dan informasi kontributor baru kami dengan mudah di sini: https://chaoss.github.io/augur/ dan pelajari lebih lanjut tentang Augur di situs web kami https://augurlabs.io
• IBM/CBOM: Bill of Material Kriptografi
• Appthreat/Blint: Blint adalah linter biner untuk memeriksa properti keamanan, dan kemampuan dalam executable Anda. Itu didukung oleh lief.

Baca juga:

• Taptutuit/Awesome-DevSecops: Kurator sumber daya dan perkakas devsecops terbaik.
• Baca: Contour: Sistem Praktis untuk Transparansi Biner
• Beberapa Konsep Menarik di: Shopify/Seer-Prototipe: Estalasi Pakar Keamanan Risiko

Bagian ini meliputi: Pemindai dan Detektor Paket/Perpustakaan, format SBOM, standar, penulisan dan validasi, dan beberapa aplikasi. Kemungkinan akan termasuk SCA.

Referensi yang paling lengkap adalah Awesomesbom/Awesome-Sbom. Repo bermanfaat lain yang berfokus pada generator adalah Cybeats/Sbomgen: Daftar Alat Generasi SBOM.

• Gitbom
  • Juga: Git-Bom/Bomsh: Bomsh adalah kumpulan alat untuk menjelajahi ide gitbom
  • Yonhan3/Gitbom-Repo: Repositori Gitbom Docs for Linux Binaries
  • Dengarkan: Gitbom. Itu bukan git atau sbom dan gitbom: repurposing grafik git untuk keamanan & transparansi rantai pasokan
  • Juga lihat bomsage/vision.md di main · dpp/bomsage, dan pkgconf/main.c di master · pkgconf/pkgconf (info lebih lanjut di utas ini)
• NEXB/Scancode-Toolkit: Scancode mendeteksi lisensi, hak cipta, manifes paket & dependensi dan lainnya dengan memindai kode ... untuk menemukan dan inventaris sumber terbuka dan paket pihak ketiga yang digunakan dalam kode Anda.
• Daftar Alat SCA Owasp komprehensif dengan sendirinya
• Grafeas: API Metadata Komponen
• Trailofbits/IT-Depends: Alat untuk secara otomatis membangun grafik ketergantungan dan tagihan perangkat lunak Bahan (SBOM) untuk paket dan repositori kode sumber yang sewenang-wenang.
• Mend SCA SBOM, Mend Bolt: Temukan dan perbaiki kerentanan sumber terbuka dan renovasi Whitesource: Pembaruan Ketergantungan Otomatis
  • Renovatebot/Renovate: Alat Pembaruan Ketergantungan Universal yang sesuai dengan alur kerja Anda.
    • Baca juga kasus penggunaan - renovasi dokumen
• JFROG XRAY - Analisis Komponen Universal & Pemindaian Keamanan Kontainer
• DependencyTrack/Dependency-Track: Track Ketergantungan adalah platform analisis komponen cerdas yang memungkinkan organisasi untuk mengidentifikasi dan mengurangi risiko dalam rantai pasokan perangkat lunak.
  • Bacaan yang bagus tentang Track Ketergantungan
• OSS-Review-Toolkit/ORT: Serangkaian alat untuk membantu meninjau dependensi perangkat lunak sumber terbuka.
• Anchore/Syft: CLI Tool and Library untuk menghasilkan tagihan perangkat lunak dari gambar kontainer dan sistem file dari solusi keamanan rantai pasokan perangkat lunak • Anchore
  • Catatan juga: Perintah docker sbom Baru Membuat SBOMS Menggunakan Syft
  • Membuat Pengesahan SBOM Menggunakan Syft dan Sigstore
  • Aliran Sederhana: Utils/CI/GitHub/Docker-Build-Sign-Sbom di Main · Marco-Lancini/Utils
• Mengumumkan: Pemindaian sekarang dalam mode pemeliharaan · Edisi #352 · ShiftLeftsecurity/SAST-scan
• Keamanan Kontainer | Qualys, Inc.
• Aqua Cloud Keamanan Asli, Keamanan Kontainer & Keamanan Tanpa Server
• TERN-TOOLS/TERN: TERN adalah alat analisis komposisi perangkat lunak dan pustaka Python yang menghasilkan tagihan perangkat lunak bahan untuk gambar kontainer dan dockerfile. SBOM yang dihasilkan oleh Tern akan memberi Anda tampilan lapisan demi lapis tentang apa yang ada di dalam wadah Anda dalam berbagai format termasuk yang dapat dibaca manusia, JSON, HTML, SPDX dan banyak lagi.
• REA-PRODUCTS/C-SCRM-USE-CASE di Master · RJB4Standards/REA-Products dari tweet ini
  • Juga lihat Energi SBOM Bukti Konsep - INL
• Phylum Analyze PR Action: Github Action untuk menganalisis permintaan tarik untuk masalah rantai pasokan open-source dari Phylum | Perusahaan Keamanan Rantai Pasokan Perangkat Lunak
• Microsoft/Komponen-Deteksi: Memindai proyek Anda untuk menentukan komponen apa yang Anda gunakan
• Standar Dwarf 5
• Tagging Identifikasi Perangkat Lunak (SWID) | CSRC dan Pedoman untuk Pembuatan Tag Identifikasi Perangkat Lunak Interoperable (SWID)
• Tag Identifikasi Perangkat Lunak Ringkas
• Hughsie/Python-USWID: Alat kecil untuk menanamkan tag coswid di biner EFI
  • Juga lihat utas
    • Dan contoh praktis dalam coreboot
• CKOTZBAUER/SBOM-Operator: Katalog Semua gambar kluster Kubernetes ke beberapa target dengan syft
• Manajemen Masalah Keamanan dalam Keamanan Aplikasi Dynatrace
• Cacat Defectdojo/Django-Defectdojo: Cacat adalah alat manajemen devsecops dan kerentanan.
  • Daftar integrasi yang mengesankan dengan sampel: defectdojo/sampel-scan-files: File pemindaian sampel untuk pengujian defectdojo impor
• Swingletree-Oss/Swingletree: Integrasi dan amati hasil alat pipa CI/CD Anda
• Mercedes -Benz/Sechub: SecHub - Satu cara pusat dan mudah untuk menggunakan alat keamanan yang berbeda dengan satu API/klien
• Marcinguy/Betterscan -CE: Pemindaian kode/analisis SAST/statis/serat menggunakan banyak alat/pemindai dengan satu laporan (kode, IAC) - Edisi Komunitas Betterscan (CE)
• BBVA/SUSTO: Orkestrasi Pengujian Keamanan Universal Sistematik
• Appthreat/Rosa: Eksperimen yang terlihat sangat menjanjikan sejauh ini.
• Solusi SBOM Fossa
• Rezillion Dynamic SBOM
• OpenSbom-generator/SPDX-SBOM-generator: Mendukung generasi CI SBOMs melalui Golang Tooling.
• Alat SBOM Tauruseer
• Bahasa & manifes yang didukung Soos
• Benteng: Bill of Material Perangkat Lunak
• Javixeneize/YASCA: Alat SCA lainnya
• Cybeats SBOM Studio
• EDGEBIO/EDGEBEB-BUILD: Tindakan GitHub untuk mengunggah SBOM ke Edgebit dan menerima konteks kerentanan dalam permintaan tarik Anda dari Edgebit-keamanan rantai pasokan waktu nyata, memungkinkan tim keamanan untuk menargetkan dan mengoordinasikan remediasi kerentanan tanpa kerja keras.
• REA's Software Assurance Guardian Point Man (SAG-PM)
• Microsoft/SBOM-Tool: Alat SBOM adalah alat yang sangat terukur dan siap untuk membuat SBOM yang kompatibel SPDX 2.2 untuk setiap variasi artefak apa pun
• SCA Veracode untuk mengotomatiskan pemindaian keamanan, lihat Demo: Cara Menghasilkan Bill of Material Perangkat Lunak (SBOM) Menggunakan Analisis Komposisi Perangkat Lunak Veracode
• Edisi Perusahaan - Blubracket: Kode Keamanan & Deteksi Rahasia
• Analisis Komposisi Perangkat Lunak (SCA) | Cyberres
• Nexus Intelligence - Layanan Data Sonatype
• Appthreat/Dep-scan: Audit keamanan open-source sepenuhnya untuk dependensi proyek berdasarkan kerentanan dan nasihat yang diketahui. Mendukung repo lokal dan gambar kontainer. Terintegrasi dengan berbagai lingkungan CI seperti saluran pipa Azure, Circleci, Google CloudBuild. Tidak ada server yang diperlukan!
• SBS2001/Fatbom: Fatbom (Bill of Material Lemak) adalah alat yang menggabungkan SBOM yang dihasilkan oleh berbagai alat menjadi satu SBOM lemak. Dengan demikian memanfaatkan kekuatan setiap alat.
• Sonatype Bom Doctor
• JHUTCHING1/SPDX-TO-DEPENDENSI-GRAPH-ACTION: Tindakan GitHub yang mengambil SBOMS SPDX dan mengunggahnya ke API Pengajuan Ketergantungan GitHub ke Power Dependabot Alerts
  • Lihat juga: Evryfs/SBOM-Dependency-Submission-action: Kirim SBOM ke API Pengajuan Ketergantungan GitHub
  • Dan dokumen Pengajuan Ketergantungan
• Tap8Stry/Orion: Melampaui Penemuan Paket Manajer untuk SBOM
• Patriksvensson/Covenant: Alat untuk menghasilkan SBOM (Bill of Material Perangkat Lunak) dari artefak kode sumber.
• Cyclonedx/cyclonedx-webpack-plugin: Buat tagihan perangkat lunak Cyclonedx (SBOM) dari bundel webpack pada waktu kompilasi.
• Advanced-Security/GH-SBOM: Hasilkan SBOM dengan GH CLI
• Interlynk -OO/SBOMQS: Skor Kualitas SBOM - Metrik Kualitas untuk SBOM Anda
• Ebay/SBOM-skorecard: menghasilkan skor untuk dipahami oleh SBOM Anda jika itu benar-benar berguna.

Sumber daya yang lebih menarik:

• Podcast Penghematan Keamanan: 2020-031-Allan Friedman, SBOM, Transparansi Perangkat Lunak, dan Mengetahui Bagaimana Sosis Dibuat
• Episode 312: The Legend of the SBOM
• Reimagining Cyber ​​Podcast: Log4j Kerentanan memberikan pelajaran keras dalam dependensi yang tidak diketahui
• Tech Hutang Podcast Podcast Series 1 E11: Allan Friedman dan SBOMS
• Sounil Yu di SBOM, Keamanan Rantai Pasokan Perangkat Lunak - Percakapan Keamanan
• Menjelajahi Keamanan. KRIMITAS SBOM. Scott McGregor, Cloud Security, Wind River
• Down The Security Rabbithole Podcast: DTSR Episode 487 - Rantai Pasokan Perangkat Lunak adalah BFD
• Podcast Analisis Komposisi Perangkat Lunak: Rantai Pasokan Perangkat Lunak - Episode 1
• Pembaruan Kritis: Apakah Anda tahu apa yang ada di perangkat lunak Anda?
• Bill of Material Perangkat Lunak | Cisa
• SBOM Use Case - RKVST dan RKVST SBOM Hub - RKVST
  • Baca Juga: SBOM Hub - Pemetaan Atribut NTIA
• BOF: SBOMS untuk sistem tertanam: Apa yang berhasil, apa yang tidak? - Kate Stewart, Linux Foundation
• Semua tentang Bom itu, tentang Bom - Melba Lopez, IBM
• OWASP Cyclonedx Meluncurkan SBOM Exchange API
• Baca: Manajemen SBOM | Enam cara itu mencegah sprawl SBOM
• BACA: NTIA adalah elemen minimum untuk tagihan materi perangkat lunak
• Baca: Apa yang bisa dilakukan SBOM untuk Anda

Beberapa proyek open source mendokumentasikan, di depan umum, bagaimana mereka memperoleh dependensi. Contoh-contoh yang disengaja, dimiliki manusia, dan bentuk panjang ini dapat menjadi ilustratif:

• Envoy/dependency_policy.md di utama · utusan/utusan
• Apa yang diharapkan dari dependensi
• Keamanan: Nilai SBOM dari fluks

• OSV
  • BACA: SBOM beraksi: Menemukan kerentanan dengan tagihan materi perangkat lunak
  • Terkait: SPDX/SPDX-to-OSV: menghasilkan file JSON kerentanan open source berdasarkan informasi dalam dokumen SPDX
  • Alat: Google/OSV-Pemindai: Pemindai Kerentanan Ditulis di Go yang menggunakan data yang disediakan oleh https://osv.dev
• Pipa Deteksi Kerentanan Qualys
• Vuls · Pemindai Kerentanan Tanpa Agen untuk Linux/Freebsd
• Database kerentanan, API juga tersedia; Lihat Vuldb
• AppThreat/Kerentanan-DB: Basis data kerentanan dan pencarian paket untuk sumber-sumber seperti OSV, NVD, GitHub dan NPM.
• Aquasecurity/TRIVY: Pemindai untuk kerentanan dalam gambar kontainer, sistem file, dan repositori git, serta untuk masalah konfigurasi
• SAST untuk Keamanan Kode | Kode Snyk
  • Lihat juga: Memilih Perpustakaan Sumber Terbuka dari Snyk
• Edisi Komunitas Kontras
• Katalog Kerentanan yang Diketahui Dieksploitasi | Cisa
• CVE-Search/CVE-Search: CVE-Search-alat untuk melakukan pencarian lokal untuk kerentanan yang diketahui
• Exein-io/Kepler: Toko pencarian CVE dan API berbasis NIST yang ditenagai oleh Rust
• NEXB/VULNERABLECODE: Work-in-progress terhadap database kerentanan yang gratis dan terbuka dan paket yang mereka impikan. Dan alat untuk menggabungkan dan mengkorelasikan kerentanan ini. Disponsori oleh nlnet https://nlnet.nl/project/vulnerabilityDatabase/ untuk https://www.aboutcode.org/ obrolan di https://gitter.im/aboutcode-org/vulnerableCode
• Toolswatch/VFeed: Kerentanan CVE Korelasi dan Ancaman Intelijen API
• OSSF/SCORECARD: Security Scorecards - Metrik Kesehatan Keamanan untuk Open Source, OpenSSF Metrics dan OSSF/Security -Reviews: Kumpulan Komunitas Ulasan Keamanan Komponen Perangkat Lunak Sumber Terbuka.
  • OSSF/SCORECARD-ACTION: Tindakan GitHub resmi untuk kartu skor OSSF.
    • CATATAN: Bagaimana OpenSSF Scorecard's Github Action V2 Action menggunakan GitHub OIDC dengan Sigstore
  • Juga spec wawasan Keamanan OpenSSF
  • BACA: Bagaimana OpenSSF Scorecards dapat membantu mengevaluasi risiko perangkat lunak open-source
  • Contoh Kehidupan Nyata Besar: State of the Eclipse Foundation Github Repositories
• Lynis - Alat Audit dan Pengerasan Keamanan untuk Linux/UNIX
• Korban/Korban-CVE-DB: CVE Database Store
• Anchore/GRYPE: Pemindai kerentanan untuk gambar dan sistem file wadah
  • Lihat juga menggunakan GRYPE untuk mengidentifikasi kerentanan aksi gitub
  • Dan juga GRYPE sekarang mendukung standar Cyclonedx dan SPDX
• Database Penasihat GitHub sekarang terbuka untuk kontribusi masyarakat
• Kelompok Kerja Database Keamanan Global | CSA, juga lihat CloudSecurityAlliance/GSD-Database: Database Keamanan Global
• Trickest/CVE: Kumpulkan dan perbarui semua CVE yang tersedia dan terbaru dengan POC mereka.
• RFC 9116: Format file untuk membantu pengungkapan kerentanan keamanan
• Latihan AOSP Vuln-to-Commit: Quarkslab/AOSP_Dataset: Dataset Kerentanan Besar Komit Tepat Berdasarkan AOSP CVE
  • Melakukan dataset kerentanan level
• NYPH-Infosec/Daggerboard
• Davideshay/Vulnscan: Kerentanan Pemindai Suite Berdasarkan GRYPE dan SYFT DARI GAGA
• DevOps-Kung-Fu/Bomber: Memindai SBOM untuk Kerentanan Keamanan
• Benteng: Manajemen Kerentanan
• Manajemen Kerentanan | Adolus
• SecVisogram/SecVisogram: SecVisogram adalah alat web untuk membuat dan mengedit nasihat keamanan dalam format CSAF 2.0
• Future-Architect/Vuls: Pemindai Kerentanan Agen-Tanpa untuk Linux, FreeBSD, Container, WordPress, Perpustakaan Bahasa Pemrograman, Perangkat Jaringan
• Infobyte/Faraday: Platform Manajemen Kerentanan Open Source dari Faraday - Rilis Komunitas V4
• MITER/SAF: MITER Security Automation Framework (SAF) Command Line Interface (CLI) menyatukan aplikasi, teknik, perpustakaan, dan alat yang dikembangkan oleh MITER dan komunitas keamanan untuk merampingkan otomatisasi keamanan untuk sistem dan jaringan pipa DevOps
• DevOps-Kung-Fu/Bomber: Memindai Bill of Material Software (SBOMS) untuk kerentanan keamanan
• Rezilion/Mi-X: Tentukan apakah komputasi Anda benar-benar rentan terhadap kerentanan spesifik dengan memperhitungkan semua faktor yang memengaruhi eksploitasi aktual (eksekusi runtime, konfigurasi, izin, keberadaan mitigasi, OS, dll.)
• OSSF-CVE-Benchmark/OSSF-CVE-Benchmark: Benchmark OpenSSF CVE terdiri dari kode dan metadata untuk lebih dari 200 CVE kehidupan nyata, serta alat untuk menganalisis basis kode yang rentan menggunakan berbagai alat pengujian keamanan analisis statis (SAST) dan menghasilkan laporan untuk mengevaluasi alat-alat tersebut.
• Lihat Manajemen Kerentanan di Dokumen Neuvektor untuk contoh integrasi dalam skenario kontainer
• NOQCKS/XEOL: Pemindai paket akhir kehidupan (EOL) untuk gambar, sistem, dan SBOMS kontainer
• MCHMARNY/VIMP: Bandingkan data dari beberapa pemindai kerentanan untuk mendapatkan gambaran yang lebih lengkap tentang paparan potensial.

Bagian khusus pada VEX berbunyi:

• Cyclonedx - Volnerability Exploitability Exchange (VEX)
  • Exploitability Exchange Kerentanan Dijelaskan: Bagaimana Vex Membuat SBOMS Dapat Dipaksakan
  • Bagaimana VEX Membantu SBOM+SLSA Meningkatkan Visibilitas Rantai Pasokan | Google Cloud Blog
  • Apa itu VEX dan apa hubungannya dengan SBOM?
  • Apa itu VEX? Ini adalah pertukaran eksploitabilitas kerentanan!
  • Standar Pertukaran Eksploitabilitas Kerentanan (VEX)
  • VEX dan SBOMS
  • Vdr atau vex - mana yang saya gunakan? Bagian 1
  • MENYUSAHKAN! Atau ... cara mengurangi kebisingan CVE dengan satu trik sederhana! oleh Frederick Kautz
  • Kerentanan Exploitability Exchange (VEX) - Pembenaran Status
• Vex real-time

Juga lihat:

• Vulncode-db di jalur penghentian
• GitHub membawa fitur keamanan rantai pasokan ke komunitas karat
• Cycognito mengadopsi pemetaan ATT & CK ke CVE untuk Dampak
• BACA: Melihat lebih dekat pada skor CVSS, Patch Madness: Vendor Bug Advisories rusak, begitu rusak dan tampilan yang tidak lengkap pada database kerentanan & metodologi penilaian
• BACA: Cara menganalisis SBOM dan cara menghasilkan dan meng -host SBOM dari Cloudsmith
• BACA: Setelah penasihat dari tim wawasan open source Google

Bagian ini meliputi: kebijakan penerimaan dan konsumsi, verifikasi waktu tarik dan verifikasi pengguna akhir.

• Kyverno
  • BACA: Mengesahkan pemindaian gambar dengan kyverno
    • Dan: Mengelola kebijakan Kyverno sebagai artefak OCI dengan sumber Ocirepository
  • Juga: testifysec/juri-k8s: bukti konsep pengontrol penerimaan kubernetes menggunakan perpustakaan verifikasi pengesahan saksi
• CKOTZBAUER/SBOM-Operator: Katalog Semua gambar kluster Kubernetes ke beberapa target dengan syft
• Connaisseur - Verifikasi tanda tangan gambar kontainer di Kubernetes
• Sigstore/Policy-Controller: Pengendali Penerimaan Kebijakan yang digunakan untuk menegakkan kebijakan pada sebuah cluster pada metadata rantai pasokan yang dapat diverifikasi dari COSIGN.
  • Lihat juga: Lukehinds/Policy-Controller-Demo: Demo Penandatanganan Tanpa Kunci dengan Pengontrol Kebijakan Signetes Sigstore
• Portieris/Kebijakan.MD di Main · IBM/Portieris
• Reproducible-Containers/Repro-Get: Reproducible APT/DNF/APK/PACMAN, dengan penempatan konten
• Kpcyrd/Pacman-Bintrans: Transparansi Biner Eksperimental untuk Pacman dengan Sigstore dan Rekor
  • Lihat juga: Kpcyrd/apt-swarm :? Jaringan gosip P2P untuk pembaruan transparansi, berdasarkan PGP?
• Agen Kebijakan Terbuka
• Conftest memungkinkan untuk menulis tes terhadap data konfigurasi terstruktur menggunakan Bahasa Rego Query Agen Kebijakan Terbuka: Inilah contohnya
• Beberapa kait pra-berkomitmen memungkinkan pemeriksaan kerentanan tepat sebelum waktu konsumsi ketergantungan ke dalam basis kode
  • Misalnya, Pyupio/Keselamatan: Periksa Keselamatan Ketergantungan Anda yang terpasang untuk kerentanan keamanan yang diketahui
    • Atau npm-audit
      • Juga lihat Snyk-Labs/Snync: Mitigasi Kekhawatiran Keamanan Risiko Keamanan Rantai Pasokan Ketergantungan
      • Dan lirantal/lockfile-lint: serat NPM atau lockfile benang untuk menganalisis dan mendeteksi masalah keamanan
    • Atau membutuhkan.io | Pantau dependensi Anda
    • Atau pemindai keamanan Brakeman
    • Atau Trailofbits/Pip-Audit: Audit Lingkungan Python dan Pohon Ketergantungan untuk Kerentanan yang Diketahui
      • Lihat juga: Lansiran Dependabot Sekarang muncul jika kode Anda memanggil kerentanan
      • Dan: Gunakan data-disist-info-metadata (PEP 658) untuk memisahkan resolusi dari mengunduh oleh Cosmicexplorer · Tarik Permintaan #11111 · PYPA/PIP
    • Proyek terkait Python yang menarik: Project Thoth, menggunakan kecerdasan buatan untuk menganalisis dan merekomendasikan tumpukan perangkat lunak untuk aplikasi Python
    • Atau checkmarx/chainjacking: temukan dependensi gitrub langsung go lang Anda yang rentan terhadap serangan rantai
    • Atau dokter hewan kargo dan crev-dev/kargo-crev: sistem tinjauan kode yang dapat diverifikasi secara kriptografis untuk manajer paket kargo (Rust).
    • Bukan validasi otomatis, tetapi panduan komprehensif untuk Java dengan beberapa poin penting yang berkaitan dengan keamanan rantai pasokan: Praktik terbaik Google untuk Perpustakaan Java
• Analisis statis sering digunakan pada tahap ini untuk mendeteksi akuisisi ketergantungan, misalnya:
  • SEMGREP
    • Memulai rantai pasokan SEMGREP
    • Lihat juga: Menangkap Kerentanan Keamanan Dengan SEMGREP
  • Gaudit/tanda tangan di master · wireghoul/gaudit
  • Banyanops/Kolektor: Kerangka kerja untuk analisis statis gambar wadah Docker
  • Quay/Clair: Analisis statis kerentanan untuk wadah
  • Datadog/Guarddog: Guarddog adalah alat CLI untuk mengidentifikasi paket PYPI dan NPM berbahaya
  • Eliasgranderubio/Dagda: Alat untuk melakukan analisis statis kerentanan yang diketahui, Trojans, virus, malware & ancaman jahat lainnya dalam gambar/wadah Docker dan untuk memantau daemon Docker dan menjalankan wadah Docker untuk mendeteksi aktivitas anomali anomali anomali anomali anomali dan untuk mendeteksi anomali anomali deteksi anomali deteksi anomali
    • Setengah brilian, setengah lucu, sangat membantu: Kpcyrd/Libredefender: Bayangkan Pedoman Kepatuhan Keamanan Informasi mengatakan Anda memerlukan antivirus tetapi Anda menjalankan Arch Linux
  • KICS - menjaga infrastruktur tetap aman
  • Tinkerbell/Lint-Install: Secara konsisten menginstal aturan linter yang masuk akal untuk proyek open-source
  • Aturan hadolint tentang Instalasi Paket, Misalnya, Hadolint/Readme.MD di D16F342C8E70FCFFC7A788D122A1BA602075250D · Hadolint/Hadolint
    • Juga pemindaian sumber daya DockerFile-Checkov dari Bridgecrewio/Checkov: Cegah salah konfigurasi cloud selama waktu pembangunan untuk terraform, informasi cloud, kubernetes, kerangka kerja tanpa server, dan infrastruktur-sebagai-kode lainnya dengan Checkov oleh Bridgecrew.
    • Dan: xlab-si/IAC-scan-runner: layanan yang memindai infrastruktur Anda sebagai kode untuk kerentanan umum
    • Dan: AWS-sampel/Automated-Security-Helper1
• Penilaian Kerentanan | Portal OpenScap
• Mendeteksi Log4shell dengan Wazuh
• Aquascurity/Starboard: Kubernetes-Native Security Toolkit
  • Mulailah dengan Kubernetes Security dan Starboard
• ARMOSEC/KUBESCAPE: Kubescape adalah alat sumber terbuka K8S yang menyediakan panel gelas tunggal multi-cloud K8S, termasuk analisis risiko, kepatuhan keamanan, pemindaian visualisator RBAC dan kerentanan gambar.
  • Juga: ekstensi kode studio visual Kubescape
• CKOTZBAUER/Operator Kerentanan: Memindai SBOMS untuk kerentanan
• Chen-Keinan/Kube-Beacon: Pemindai Runtime Open Source untuk K8S Cluster dan melakukan pemeriksaan audit keamanan berdasarkan spesifikasi cangkir cis Kubernetes
• Aquasecurity/Kube-Bench: Memeriksa apakah Kubernetes dikerahkan sesuai dengan praktik terbaik keamanan sebagaimana didefinisikan dalam tolok ukur CIS Kubernetes dan Aquascurity/Kube-Hunter: Hunt for Security Weightses di Kubernetes Clusters
• OpenClarity/Kubeclarity: Kubeclarity adalah alat untuk deteksi dan manajemen tagihan perangkat lunak material (SBOM) dan kerentanan gambar dan file wadah dan file file
• Stackrox/Stackrox: Platform Keamanan Stackrox Kubernetes melakukan analisis risiko lingkungan kontainer, memberikan peringatan visibilitas dan runtime, dan memberikan rekomendasi untuk secara proaktif meningkatkan keamanan dengan mengeraskan lingkungan.
• CloudQuery/Plugins/Source/K8S/Kebijakan di Main · CloudQuery/CloudQuery
• Quarkslab/Kdigger: Penilaian Kontainer Terfokus Kubernet dan Alat Penemuan Konteks untuk Pengujian Penetrasi
• Osslate-Inc/Packj: Alat pemeriksaan di belakang platform analisis keamanan skala besar kami untuk mendeteksi paket sumber terbuka yang berbahaya/berisiko dan Packj | Alat pemeriksaan untuk menghindari paket "berisiko"
• DOOWON/SIGTOOL: SIGTOOL untuk file PE yang ditandatangani di GO
• Memperkenalkan "NPM Aman", Socket NPM Wrapper - Socket
• Memperkenalkan Safedep Vet | Safedep

Juga lihat:

• Analisis analisis-dev/statis-analisis: daftar alat analisis statis (SAST) yang dikuratori untuk semua bahasa pemrograman, file konfigurasi, alat build, dan banyak lagi.
• Anderseknert/Awesome-Opa: Daftar alat terkait OPA, kerangka kerja dan artikel yang dikuratori
• Jupiterone/SecOps-Automation-Expamples: Contoh tentang cara menjaga keamanan/kepatuhan sebagai kode dan untuk mengotomatisasi SecOps menggunakan platform Jupiterone.
  • Bagaimana kami menghasilkan tagihan perangkat lunak (SBOM) dengan cyclonedx
• Mengamankan jaringan pipa CICD dengan Stackrox / RHACS dan Sigstore
• Tonton: Apakah Anda mempercayai manajer paket Anda? di Fest Keamanan 2022

Dan beberapa hal yang harus ditonton di luar perpustakaan dan dependensi perangkat lunak:

• Transparansi Sistem | Arsitektur Keamanan untuk Server Bare-Metal
• Profil host yang ditiru di FWUPD
• Gnome untuk memperingatkan pengguna jika boot aman dinonaktifkan, menyiapkan bantuan keamanan firmware lainnya
• Proyek Perlindungan Diri Kernel - Subsistem Keamanan Kernel Linux
• KeyLime / KeyLime: Proyek CNCF untuk bootstrap & mempertahankan kepercayaan di tepi / cloud dan IoT
• ParallaxSecond/Parsec: Abstraksi Platform untuk Layanan Keamanan
• TPM Carte Blanche-Resistant Boot Artestation

Bagian ini meliputi: proyek dan diskusi spesifik untuk identitas pengembang, OIDC, keyrings dan topik terkait.

• Bagian dari Sigstore
  • COSIGN
  • Fulcio
  • Rekor
  • Lihat juga: Kubernetes mengetuk sigstore untuk menggagalkan serangan rantai pasokan perangkat lunak open-source
  • Tampilan khusus Sigstore dari lanskap OpenSSF
• CAS - Layanan Pengesahan CAS
• Saksi - testifysec/saksi: Saksi adalah kerangka kerja yang dapat dicolokkan untuk manajemen risiko rantai pasokan perangkat lunak. Ini mengotomatiskan, menormalkan, dan memverifikasi sumber artefak perangkat lunak.
  • Tonton: Mengamankan rantai pasokan dengan saksi - Cole Kennedy, testifysec
  • Juga lihat: testifysec/go-IMA: Go-IMA adalah alat yang memeriksa apakah file telah dirusak. Ini berguna dalam memastikan integritas dalam sistem CI
• Puerco/Tejolote: Eksekutor build yang sangat dapat dikonfigurasi dan pengamat yang dirancang untuk menghasilkan pengesahan sumber SLSA yang ditandatangani tentang run build.
• in-toto-run-GitHub Marketplace dan in-toto/github-action: in-toto provenance github action
• Ketersediaan umum generator generik SLSA3 untuk tindakan github
  • SLSA-Framework/SLSA-GITHUB-Generator: Bahasa-agnostik SLSA pembuktian untuk tindakan github
  • Lihat juga: Pengesahan CRAFTING | Dokumentasi Chainloop
• Technosophos/Helm-GPG: Penandatanganan dan verifikasi bagan dengan GNUPG untuk helm.
• CashApp/Pivit adalah alat baris perintah untuk mengelola sertifikat x509 yang disimpan di kartu pintar dengan dukungan applet piv yang sepenuhnya kompatibel dengan git
• NotaryProject/Notary: Notaris adalah proyek yang memungkinkan siapa pun untuk memiliki kepercayaan atas koleksi data sewenang -wenang
  • NotaryProject/Roadmap: Roadmap untuk NotaryV2
  • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
  • notaryproject/tuf: The Update Framework for OCI Registries
    • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
    • Also see How to easily try out TUF + in-toto
    • Check out Python-TUF reaches version 1.0.0
    • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
    • Read: Secure Software Updates via TUF — Part 2
• deislabs/ratify: Artifact Ratification Framework
• latchset/tang: Tang binding daemon
• ietf-rats - Overview
• An exposed apt signing key and how to improve apt security
• See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
  • Another witness example with GitLab
• Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
• aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
• Read: Monitoring the kernel.org Transparency Log for a year
• Also read: Software Distribution Transparency and Auditability
• paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
  • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
• johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
• oras-project/artifacts-spec
• recipy/recipy: Effortless method to record provenance in Python
• spiffe/spire: The SPIFFE Runtime Environment
• Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
• google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
• Artifactory - Universal Artifact Management
• pyrsia/pyrsia: Decentralized Package Network
• transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
• Watch: Privacy-preserving Approaches to Transparency Logs

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

• in-toto | A framework to secure the integrity of software supply chains
• Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
  • Great read: SLSA | CloudSecDocs
  • Another L50 read: Building trust in our software supply chains with SLSA
  • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
    • Also, a framework mapping put together by Red Hat
  • A Practical Guide to the SLSA Framework by FOSSA
  • Read: Securing Gitpod's Software Supply Chain with SLSA
  • Read: A First Step to Attaining SLSA Level 3 on GitHub
  • And a pattern search across GitHub for inspiration (thanks @infernosec)
• OWASP Application Security Verification Standard, esp. V14 - Configuration
• OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
• CREST launches OWASP Verification Standard (OVS)
• SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
• SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
  • Related: A MAP for Kubernetes supply chain security
• Software Supply Chain Risk Management | BSIMM
• microsoft/scim: Supply Chain Integrity Model
  • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
• Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
  • Also Comply with NIST's secure software supply chain framework with GitLab
• The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
• SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
• npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
• CIS Software Supply Chain Security Guide
• microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
• GitHub's Implementing software security in open source
• Previously referenced: Google Best Practices for Java Libraries
• MITRE's System of Trust
• Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
• OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
• Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

• Zero Trust the Hard Way, Kelsey Hightower
• KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
• Supply Chain Risk Management

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

• Reproducible Builds, particularly the Documentation
  • rb ecosytem mapping
  • Reproducible Builds / reprotest
  • Is NixOS Reproducible?
• Bootstrappable Builds (GNU Mes Reference Manual)
  • Also read Bootstrappable builds from LWN
• tektoncd/chains: Supply Chain Security in Tekton Pipelines
  • Verifiable Supply Chain Metadata for Tekton - CD Foundation
• google/santa: A binary authorization system for macOS
• fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
• kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
  • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
• kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
• tag-security/sscsp.md at main · cncf/tag-security
• defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
• Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
  • Example using SBOM as an input: Inputs - Hoppr
• On instrumenting runners:
  • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
  • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
• reposaur/reposaur: Open source compliance tool for development platforms.
• buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
• chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
  • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
• aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database | Aqua Security
• ossf/allstar: GitHub App to set and enforce security policies
• scribe-public/gitgat: Evaluate source control (GitHub) security posture
• Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
• crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
• wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
• oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
• jart/landlock-make: Sandboxing for GNU Make has never been easier
  • Read: Using Landlock to Sandbox GNU Make
• veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
• Changelog for Pants 2: The ergonomic build system
• Bazel is an open source build and test tool similar to Make, Maven, and Gradle
• GoogleContainerTools/kaniko: Build Container Images In Kubernetes
• sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
• buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
• eellak/build-recorder
  • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

• The reproducible-builds topic on GitHub
• Dependency management as part of Google Cloud's Artifact Registry documentation
• Security hardening for GitHub Actions
  • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
• Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
• Code Sight
• cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
  • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
• Read: What Makes a Build Reproducible, Part 2
• Read: Building a Secure Software Supply Chain with GNU Guix
• alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
• Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
• Read: Reproducible Builds: Break a log, good things come in trees
• Secure Your Software Factory with melange and apko
  • On the apko pattern, see Shopify/hansel
• kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

• A few resources, in addition to this repository, that can help keep up with news and announcements:
  • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
  • tl;dr sec Newsletter
  • Past Issues | CloudSecList
  • News - reproducible-builds.org
  • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
  • A visual reference by Enso Security: AppSec Map
  • A similar one: Jetstack | The Software Supply Chain Toolkit
  • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
  • A toolbox for a secure software supply chain from Chainguard
  • The Technology chapter in Snyk's DevSecOps series
  • A helpful list of acronyms: Acronyms | OpenSCAP portal
  • slsa/terminology.md at main · slsa-framework/slsa
  • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
  • Watch: How to start learning about Supply Chain Security
  • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

• Secure Software Development Fundamentals Courses - Open Source Security Foundation
  • Securing Your Software Supply Chain with Sigstore
• Census II of Free and Open Source Software — Application Libraries
• “Chain”ging the Game - how runtime makes your supply chain even more secure
• How to attack cloud infrastructure via a malicious pull request
• The Challenges of Securing the Open Source Supply Chain
• What is a Software Supply Chain Attestation - and why do I need it?
• Open Policy Agent 2021, Year in Review
• Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
• The state of software bill of materials: SBOM growth could bolster software supply chains
• Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
  • Secure Software Supply Chains
• A few resources to understand supply chain compromises:
  • Supply Chain Compromise - attackics
  • tag-security/supply-chain-security/compromises at main · cncf/tag-security
  • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
  • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
    • Endor Labs' version: Risk Explorer for Software Supply Chains
    • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
  • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
  • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
  • ossf/oss-compromises: Archive of various open source security compromises
  • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
  • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
  • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects. Umpan balik selamat datang!
• Improving TOFU (trust on first use) With Transparency
• Reports:
  • 2022 State of Cloud Native Security Report - Palo Alto Networks
  • 2022 Software Supply Chain Security Report • Anchore
• End-to-end demos and examples:
  • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
  • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
• Using SARIF to Extend Analysis of SAST Tools
• GitLab's Software Supply Chain Security section
  • Also read GitLab's Software Supply Chain Security Direction
• GitHub's SARIF support for code scanning
• Driving Developer Productivity via Automated Dependency Tracking
• Code scanning finds more vulnerabilities using machine learning
• Securing Open Source Software at the Source
• Security: The Value of SBOMs
• Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
• SBOMs in the Windows Supply Chain, from the SPDX User Group
• Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
• Binary Authorization for Borg: how Google verifies code provenance and implements code identity
• Application Security Weekly (Video) on Apple Podcasts
• How to prioritize the improvement of open source software security
  • And Strengthening digital infrastructure: A policy agenda for free and open source software
• Software Supply Chain Security Turns to Risk Mitigation
• Reproducible Builds: Increasing the Integrity of Software Supply Chains
• sigstore/community: General sigstore community repo
• CycloneDX Use Cases
  • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
• Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
• Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
• The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
• Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
• Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
• Watch: The state of open source security in 2022 with Kurt Seifried
• Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
• EO 14028 and Supply Chain Security
• Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
• Open Source Security Foundation (OpenSSF) Security Mobilization Plan
• Not Just Third Party Risk
• Open Source Security: How Digital Infrastructure Is Built on a House of Cards
• Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
• Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
• Supply Chain Security for Cloud Native Java (from Thomas Vitale)
• Podcast: It Depends with Trail of Bits
• New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
• Software Supply Chain Primer v0.93 (June 2022)