awesome software supply chain security

オープンソースに重点を置いたソフトウェアサプライチェーンセキュリティドメインのリソースの編集。

• 素晴らしいソフトウェアサプライチェーンセキュリティ
  • このリストについて
  • 依存関係インテリジェンス
    • SCAとSBOM
    • 脆弱性情報交換
  • 使用ポイント検証
    • 図書館を超えたサプライチェーン
  • アイデンティティ、署名、出所
  • フレームワークとベストプラクティス参照
  • テクニックを構築します
  • 講演、記事、メディア報道、その他の読書
    • 始めて新鮮なままにしてください

このドメインの規定された分類法はありません。このリストには、DevSecops、Sast、SCAなどの分野やカテゴリと必然的に重複があります。

サプライチェーン合成リポジトリは、なぜそうなのかについて長い形式の読み取りと、それが進化するにつれてそれを理解し、ナビゲートするのに役立つポインターを提供します。

awesome-software-supply-chain-securityについては、次の高レベルのアプローチを採用しています。サプライチェーンのさまざまなアクターは、チェーンに表される要素の証明を貢献します。

このプロセス中心の見解では、証明が放出され、増強され（たとえば、構成中）、検証されます。

これを見る別の方法は、ここでジョシュ・ブレッサーズによって説明されました、そして、ここにSpotifyの野生の物語の例があります

このレンズを使用して、「主題」（依存関係）の大規模なグループ、「事実」（ライセンスまたは脆弱性）の明確なカテゴリ、およびアイデンティティ、起源、構築システムの特定の役割を特定できます。これは、ドメインとともに進化すると予想される現在の見出しの背後にある理論的根拠です。

ドメインを定義する継続的なプロセスのその他の例には、サプライチェーンシナリオとして不良設計の追加が含まれます。・問題＃276・SLSA-フレームワーク/SLSA。 Aeva BlackからのこのツイートをDan Lorencと一緒にチェックして、いくつかの重要なプロジェクトの別のピンチ内ビューをご覧ください。

このセクションには、パッケージ管理、ライブラリ管理、依存関係管理、ベンダー付き依存関係管理、ハッシュ検索、パッケージ、ライブラリおよび依存関係の命令、ライブラリの動作ラベル付け、ライブラリの出版、レジストリとリポジトリ、出版ゲートとスキャン、依存関係ライフサイクルが含まれます。

• オープンソースの洞察
• GUACSEC/GUAC：GUACは、ソフトウェアセキュリティメタデータを高忠実度グラフデータベースに集約します。
• Package-url/purl-spec：purl akaの最小限の仕様。パッケージ「ほとんどユニバーサル」URL、https：//gitter.im/package-url/lobbyでディスカッションに参加してください
• 特定の依存関係を理解するのに役立つオンラインサービス、または少なくともそれが既知であるかどうか（通常、 purl 、CPE、またはecosystem:name:version 、またはハッシュによるバージョン、またはハッシュによる）
  • NSRL：COTSソフトウェアのハッシュ、SleuthKit/HfindからNsrllookupへのツールによく統合されています
  • パブリックAPI（httpおよびdns！）を介して照会できるソースと、よりオープンソースを認識できる可能性があります。
  • Repologyには、複数の分布にわたってLinuxパッケージの伝説的なカバレッジがあります。そのrepology-updaterおよびその他のインフラストラクチャのピースはオープンソースです。これは、サプライチェーンセキュリティドメインにとって関心のあるプロパティを備えたWikidataのアップデーターを提供します。
  • Debianの外部リポジトリメタデータ
  • Tidelift's Libraries.ioはAPIを提供し、30を超えるパッケージエコシステム（およびいくつかの便利なオープンソースツール）をサポートしています
  • Whitesourceの統一エージェントは、いくつかの洗練されたファイルマッチング能力も提供しています
  • ソフトウェア遺産プロジェクトには大規模な摂取能力があり、ハッシュが既知であるかどうかを効率的に確認し、その場合はファイルに特定の情報を提供できるAPIを提供します。
    • SWHスキャナーCLIも参照してください
  • Hashdd-適切な暗号化ハッシュが知られています
  • 明確に定義された座標を考慮して、オープンソースコンポーネントのライセンス情報を提供します
  • LGTM-脆弱性を見つけて防止するコード分析プラットフォームでは、GitHub Repoで手動で検索できます
  • バイナリ透明性ディレクトリは、ハッシュおよびその他の属性でパッケージを検索できるAPIを提供します
    • 何らかの形で関連する読みは、CloudFlareがコードを検証する方法の後半です。WhatsAppWebがユーザーにサービスを提供する
    • およびサブリソースの完全性
    • バイナリの透明性に関する伝説的な読み物と混同しないでください
• たとえば、 curl経由で取得した入力の場合：
  • Spectralops/Preflight：Preflightは、スクリプトと実行可能ファイルを確認して、最近のCodecov Hackなどの供給攻撃のチェーンを緩和するのに役立ちます。
  • apiaryio/curl-trace-parser：curl-traceオプションからの出力用パーサー
    • Curl Trace Attestor・Issue＃139・TestifySec/証人
  • 友達は友達にカールさせないでください|バッシュ
    • そして、非常に興味深いカール|バッシュやその他の野生のもののパッケージを有効にします。 jordansissel・プル要求＃1957・jordansissel/fpm
  • ファルコ
  • AquaseCurity/Tracee：EBPFを使用したLinuxランタイムセキュリティとフォレンジック
  • geninetools/bane：dockerコンテナ用のカスタムおよびより優れたApparmorプロファイルジェネレーター。
  • コンテナ/oci-seccomp-bpf-hook：seccompプロファイルを追跡して生成するためのociフック
  • Bottlerocket-OS/HotDog：HotDogは、LOG4Jホットパッチをコンテナに注入するために使用されるOCIフックのセットです。
• Deepfence/ThreatMapper：オープンソースクラウドネイティブセキュリティ観測可能性プラットフォーム。 Linux、K8S、AWS Fargateなど。
• 依存関係チェック
• OSSF/パッケージ分析：オープンソースパッケージ分析とOSSF/パッケージフィード：言語パッケージマネージャーのフィード解析
  • 関連：パッケージ分析の導入：悪意のある動作のためのオープンソースパッケージのスキャン
  • また、OSSファズを備えたArgoセキュリティ自動化、CNCFランドスケープとGoogle/OSSファズをファズすることによりセキュリティを改善します：OSSファズ - オープンソースソフトウェアの連続ファズ。
  • およびClusterFuzzLite
  • node.jsの場合：codeintelligencetting/jazzer.js：node.jsのカバレッジガイド、インプロセスファジング
  • また、アプリケーションの観測可能性の領域では間違いなくありますが、Intellabs/Control-Flag：トレーニングデータから典型的な表現を学習することにより、異常なソースコード式にフラグを立てるシステム
• Abhisek/Supply-Chain-Security-Gateway：リファレンスアーキテクチャとサプライチェーンセキュリティゲートウェイの概念実装実施
• CUGU/GOCAP：依存関係の機能を一覧表示し、更新がより多くの機能が必要かどうかを監視します。
• MATE：コードプロパティグラフを使用したインタラクティブプログラム分析とGaloisinc/Mateを参照：Mateは、コードプロパティグラフとドキュメントを使用して、CおよびC ++コードでのバグのハンティングに焦点を当てたインタラクティブプログラム分析のスイートです。
• CheckMarx/ChainAlert-Github-action：アカウントの買収の疑いがある場合に人気のあるパッケージとアラートをスキャンします
• Open Source Security Foundation（OpenSSF）Alpha-Omegaプロジェクト
• ソケット - 何百万ものオープンソースパッケージを見つけて比較し、JavaScriptに焦点を当てています
• Diffoscope：ファイル、アーカイブ、ディレクトリの詳細な比較
• RedHatProductSecurity/Component-Registry：コンポーネントレジストリ（CORGI）Red Hatのサポートされている製品、マネージドサービス、および内部製品パイプラインサービス全体にコンポーネントデータを集約します。
• TIDBクラウドを搭載したOSS Insightは、単一のGitHubリポジトリ/開発者を詳細に分析し、同じメトリックを使用して2つのリポジトリを比較し、包括的で価値のある、トレンドのオープンソースの洞察を提供するのに役立つ洞察ツールです。
• Fossaリスクインテリジェンスのプライベートベータ版の発表
• プロジェクトから|ソフトウェアの透明性基礎、OSSKB |を参照してください無料のオープンソースインベントリ
  • 特に：scanoss.py/package.md at main・scanoss/scanoss.py
• Artifact Hub、パッケージセキュリティレポートを備えており、Cosignでも検証します
• crt.sh |証明書検索
• grep.app |コード検索
• GitHubコード検索
• 検索コード|ソースコード検索エンジン
• sourcegraphのsourcegraph
• オープンソースハブのオンボードオープンソースの寄稿者、docker-slimの例を参照してくださいcodesee
• Snykのコードチェッカー
• 始めましょう - 化石
• cve-search/git-vuln-finder：gitコミットメッセージから潜在的なソフトウェアの脆弱性を見つける
• Chaoss/Augur：Python LibraryとWebサービスオープンソースソフトウェアの健康とサステナビリティメトリックとデータ収集。 https：//chaoss.github.io/augur/で、ドキュメントと新しい貢献者情報を簡単に見つけることができます。
• IBM/CBOM：暗号化法案
• App -Treat/Blint：Blintは、実行可能ファイルのセキュリティプロパティと機能を確認するためのバイナリリナーです。それはリーフを搭載しています。

また読む：

• Taptuit/Awesome-Devsecops：最高のDevSecopsリソースとツールをキュレーションします。
• 読む：輪郭：バイナリ透明性のための実用的なシステム
• いくつかの興味深い概念：Shopify/Seerプロトタイプ：リスクのセキュリティエキスパートの誘発

このセクションには、パッケージ/ライブラリスキャナーと検出器、SBOM形式、標準、オーサリングと検証、およびいくつかのアプリケーションが含まれます。おそらくSCAが含まれます。

最も完全な参照は、Awesomesbom/Awesome-Sbomです。発電機に焦点を当てたもう1つの役立つレポは、Cybeats/sbomgen：SBOM生成ツールのリストです。

• gitbom
  • また：git-bom/bomsh：bomshは、gitbomのアイデアを探るためのツールのコレクションです
  • Yonhan3/Gitbom-Repo：Linuxバイナリ用のGitbom Docsのリポジトリ
  • 聞く：gitbom。 GitまたはSbomとGitbomではありません：サプライチェーンのセキュリティと透明性のためにGitのグラフを再利用する
  • また、メインのbomsage/vision.md、dpp/bomsage、およびpkgconf/main.cでマスター・pkgconf/pkgconfを参照してください（このスレッドの詳細）
• NEXB/Scancode-Toolkit：ScanCodeは、コードをスキャンするために、ライセンス、著作権、パッケージマニフェスト、依存関係などを検出します。
• OWASPのSCAツールリストは、それだけで包括的です
• Grafeas：コンポーネントメタデータAPI
• TrailOfBits/ITに依存：パッケージと任意のソースコードリポジトリの依存グラフとソフトウェアの資料請求書（SBOM）を自動的に構築するツール。
• Mend Sca Sbom、Mend Bolt：オープンソースの脆弱性とWhitesourceの改修を見つけて修正：自動化された依存関係の更新
  • RenovateBot/Renovate：ワークフローに適合するユニバーサル依存関係の更新ツール。
    • また、ユースケースを読む - ドキュメントを改修します
• JFrog Xray-ユニバーサルコンポーネント分析とコンテナセキュリティスキャン
• DependencyTrack/Dependency-Track：Dependency-Trackは、組織がソフトウェアサプライチェーンのリスクを特定して削減できるインテリジェントコンポーネント分析プラットフォームです。
  • 依存関係のトラックをよく読んでください
• OSS-REVIEW-TOOLKIT/ORT：オープンソースソフトウェアの依存関係のレビューを支援するツールスイート。
• ANCHORE/SYFT：CLIツールとライブラリを生成するためのコンテナの画像とファイルシステムからソフトウェアの資料請求書を生成するためのサプライチェーンセキュリティソリューション•Anchore
  • また、注：syftを使用してsbomsを作成する新しいdocker sbomコマンド
  • SyftとSigstoreを使用してSBOMの証明を作成します
  • シンプルなフロー：utils/ci/github/docker-build-sign-sbom at marco-lancini/utils
• 発表：スキャンはメンテナンスモードになりました・問題＃352・ShiftLeftSecurity/Sast-Scan
• コンテナセキュリティ| Qualys、Inc。
• Aqua Cloudネイティブセキュリティ、コンテナセキュリティ、サーバーレスセキュリティ
• Tern-Tools/Tern：Ternは、コンテナ画像とDockerFiles用のソフトウェア材料の手形を生成するソフトウェア構成分析ツールとPythonライブラリです。 Ternが生成するSBOMは、人間の読み取り可能、JSON、HTML、SPDXなどを含むさまざまな形式で、コンテナ内にあるもののレイヤーごとのビューを提供します。
• このツイートからマスター・RJB4STANDARDS/REA-ProductsのREA-Products/C-SCRM使用ケース
  • また、Energy SBOM Proof of Concept -inlを参照してください
• 門の分析PRアクション：GitHubアクションオープンソースのサプライチェーンの問題のプル要求を分析します。ソフトウェアサプライチェーンセキュリティ会社
• Microsoft/Component-Otection：プロジェクトをスキャンして、使用するコンポーネントを決定する
• ドワーフ5標準
• ソフトウェア識別（SWID）タグ付け| CSRCおよび相互運用可能なソフトウェア識別（SWID）タグを作成するためのガイドライン
• 簡潔なソフトウェア識別タグ
• Hughsie/Python-Uswid：EFIバイナリにコスウィッドタグを埋め込むための小さなツール
  • スレッドも参照してください
    • CoreBootの実用的な例
• ckotzbauer/sbom-operator：syftを使用して複数のターゲットにkubernetesクラスターのすべての画像をカタログ化する
• Dynatraceアプリケーションのセキュリティにおけるセキュリティ問題管理
• Defectdojo/django-Defectdojo：Defectdojoは開発ツールであり、脆弱性管理ツールです。
  • サンプルとの統合の印象的なリスト：Defectdojo/Sample-Scan-Files：テストのためのサンプルスキャンファイル
• swingletree-oss/swingletree：CI/CDパイプラインツールの結果を統合して観察する
• Mercedes -Benz/Sechub：Sechub- 1つのAPI/クライアントを使用してさまざまなセキュリティツールを使用する1つの中央で簡単な方法
• Marcinguy/Betterscan -CE：コードスキャン/SAST/静的分析/1つのレポートを使用した多くのツール/スキャナーを使用して（コード、IAC） - BetterScan Community Edition（CE）
• BBVA/Susto：体系的なユニバーサルセキュリティテストオーケストレーション
• App -Treat/Rosa：これまでのところ非常に有望に見える実験。
• FossaのSBOMソリューション
• Rezillion Dynamic Sbom
• OpenSBOM-Generator/SPDX-SBOM-Generator：Golangツールを介したSBOMのCI生成をサポートします。
• TauruseerのSBOMツール
• Soosのサポート言語とマニフェスト
• 要塞：ソフトウェアの材料請求書
• javixeneize/yasca：さらに別のSCAツール
• Cybeats SBOM Studio
• EdgeBitio/EdgeBit-Build：githubアクションSBOMをEdgebitにアップロードし、Edgebit-リアルタイムのサプライチェーンセキュリティからのプル要求の脆弱性コンテキストを受け取り、セキュリティチームが苦労せずに脆弱性修復をターゲットと調整できるようにします。
• REAのソフトウェア保証ガーディアンポイントマン（SAG-PM）
• Microsoft/SBOM-Tool：SBOMツールは、あらゆるさまざまなアーティファクト用にSPDX 2.2互換性のあるSBOMを作成するための非常にスケーラブルでエンタープライズ対応のツールです。
• セキュリティスキャンを自動化するためのVeracodeのSCA、Demo：Veracodeソフトウェア構成分析を使用してソフトウェア材料法案（SBOM）の生成方法を参照してください
• Enterprise Edition -Blubracket：コードセキュリティとシークレット検出
• ソフトウェア構成分析（SCA）|サイバー
• Nexus Intelligence -Sonatypeデータサービス
• App-Treat/Dep-Scan：既知の脆弱性とアドバイザリーに基づいたプロジェクト依存関係の完全なオープンソースセキュリティ監査。ローカルレポとコンテナ画像の両方をサポートします。 Azure Pipelines、Circleci、Google CloudBuildなどのさまざまなCI環境と統合しています。サーバーは必要ありません！
• SBS2001/FATBOM：FATBOM（FAT MATERIALS BILL）は、さまざまなツールによって生成されたSBOMを1つの脂肪SBOMに組み合わせたツールです。したがって、各ツールの強度を活用します。
• Sonatype Bom Doctor
• jhutchings1/spdx-to依存性 - グラフアクション：SPDX SBOMを採用し、GitHubの依存関係APIにアップロードするGitHubアクションは、DependAbotアラートを電源
  • また、参照：evryfs/sbom-dependency-submission-action：sbomsをGithubの依存関係の提出APIに送信
  • 依存関係の提出ドキュメント
• tap8stry/orion：SBOMのパッケージマネージャーディスカバリーを超えて進みます
• Patriksvensson/Covenant：ソースコードアーティファクトからSBOM（ソフトウェア請求書）を生成するためのツール。
• Cyclonedx/cyclonedx-webpack-plugin：コンパイル時にWebpackバンドルからCyclonedxソフトウェア材料法案（SBOM）を作成します。
• Advanced-Security/GH-Sbom：GH CLIでSBOMを生成します
• Interlynk -io/sbomqs：SBOM品質スコア - SBOMの品質メトリック
• ebay/sbom-scorecard：SBOMが実際に役立つかどうかを理解するためにスコアを生成します。

より興味深いリソース：

• セキュリティポッドキャストのブレーキをかける：2020-031-Allan Friedman、SBOM、ソフトウェアの透明性、およびソーセージの作成方法を知る
• エピソード312：SBOMの伝説
• サイバーポッドキャストの再考：log4jの脆弱性は、不明な依存関係の厳しい教訓を提供します
• 技術債務バーンダウンポッドキャストシリーズ1 E11：アランフリードマンとSBOMS
• SBOMSのSounilYu、ソフトウェアサプライチェーンセキュリティ - セキュリティ会話
• セキュリティの探索。 SBOMの重要性。スコット・マクレガー、クラウドセキュリティ、ウィンドリバー
• セキュリティのダウンラブビットホールポッドキャスト：DTSRエピソード487-ソフトウェアサプライチェーンはBFDです
• ソフトウェア構成分析ポッドキャスト：ソフトウェアサプライチェーン - エピソード1
• 重要な更新：あなたのソフトウェアに何があるか知っていますか？
• ソフトウェア手形| CISA
• SBOMユースケース-RKVSTおよびRKVST SBOM HUB -RKVST
  • また、sbom hub -ntia属性マッピング
• BOF：埋め込まれたシステム用のSBOM：何が機能しているのか、何が機能しないのか？ - ケイト・スチュワート、Linux Foundation
• そのbomについてのすべて、 'そのbom -melba lopez、ibm
• OWASP CyclonedXはSBOM Exchange APIを起動します
• 読む：SBOM管理| SBOMのスプロールを防ぐ6つの方法
• 読む：ntiaはソフトウェアの材料請求書の最小要素です
• 読む：SBOMがあなたのために何ができるか

いくつかのオープンソースプロジェクトは、公的に、依存関係をどのように取得するかを文書化しています。この意図的で、人間と並ぶ、長い形式の例は、説明することができます。

• Main・Envoyproxy/EnvoyのEnvoy/Dependency_Policy.md
• Curlが依存関係に期待するもの
• セキュリティ：フラックスからのSBOMの価値

• OSV
  • 読む：SBOMの動作：ソフトウェアの資料法案で脆弱性を見つける
  • 関連：SPDX/SPDX-to-OSV：SPDXドキュメントの情報に基づいて、オープンソースの脆弱性JSONファイルを作成します
  • ツール：Google/OSV-Scanner：https://osv.devが提供するデータを使用するGoで書かれた脆弱性スキャナー
• Qualysの脆弱性検出パイプライン
• Vuls・Linux/FreeBSDのエージェントレス脆弱性スキャナー
• 脆弱性データベース、APIも利用可能です。 vuldbを参照してください
• App-Treat/脆弱性DB：OSV、NVD、GitHub、NPMなどのソースの脆弱性データベースとパッケージ検索。
• AquaseCurity/Trivy：コンテナ画像、ファイルシステム、GITリポジトリの脆弱性のためのスキャナー、および構成の問題
• コードセキュリティのためにSAST | Snykコード
  • また、SNYKからオープンソースライブラリを選択してください
• コントラストコミュニティエディション
• 既知の悪用された脆弱性カタログ| CISA
• cve-search/cve-search：cve-search-既知の脆弱性のためにローカル検索を実行するツール
• exein-io/kepler：nistベースのCVEルックアップストアと錆を搭載したAPI
• NEXB/vilnerableCode：無料で開かれた脆弱性データベースとそれらに影響を与えるパッケージに対する進行中の作業。そして、これらの脆弱性を集約して相関させるツール。 nlnet https://nlnet.nl/project/vulnerabilitydatabase/がスポンサーhttps://www.aboutcode.org/ https://gitter.im/aboutcode-org/vulnerablecodeでチャット
• Toolswatch/vfeed：相関したCVE脆弱性と脅威インテリジェンスデータベースAPI
• OSSF/スコアカード：セキュリティスコアカード - オープンソースのセキュリティヘルスメトリック、OpenSSFメトリック、OSSF/セキュリティレビュー：オープンソースソフトウェアコンポーネントのセキュリティレビューのコミュニティコレクション。
  • OSSF/スコアカードアクション：OSSFスコアカードの公式GitHubアクション。
    • 注：OpenSSFスコアカードのGitHubアクションV2アクションがGitHub OIDCをSigstoreで使用する方法
  • また、OpenSSF Security Insights Spec
  • 読む：OpenSSFスコアカードがオープンソースのソフトウェアリスクの評価にどのように役立つか
  • グレートリアルライフの例：Eclipse Foundation GithubリポジトリのState
• Lynis- Linux/Unixのセキュリティ監査および硬化ツール
• 被害者/犠牲者CVE-DB：CVEデータベースストア
• Anchore/Grype：コンテナ画像とファイルシステム用の脆弱性スキャナー
  • また、Grypeを使用してGitHubアクションの脆弱性を識別してください
  • また、GrypeはCyclonedXおよびSPDX標準をサポートしています
• GitHub Advisoryデータベースは、コミュニティの貢献に開かれています
• グローバルセキュリティデータベースワーキンググループ| CSAは、CloudSecurityAlliance/GSD-Database：Global Security Databaseも参照してください
• Trickest/CVE：POCで利用可能なすべての最新のCVEを収集して更新します。
• RFC 9116：セキュリティの脆弱性開示を支援するファイル形式
• AOSP vuln-to-commitエクササイズ：Quarkslab/aosp_dataset：aosp cveに基づく大規模なコミット正確な脆弱性データセット
  • コミットレベルの脆弱性データセット
• NYPH-INFOSEC/DAGGERBOARD
• Davideshay/Vulnscan：AnchoreのGrypeとSyftに基づく脆弱性スキャナースイート
• DevOps-kung-fu/bomber：SBOMをスキャンしてセキュリティの脆弱性をスキャンします
• 要塞：脆弱性管理
• 脆弱性管理|アドラス
• Secvisogram/secvisogram：secvisogramは、CSAF 2.0形式でセキュリティアドバイスを作成および編集するためのWebツールです
• Future-Architect/Vuls：Linux、FreeBSD、コンテナ、WordPress、プログラミング言語ライブラリ、ネットワークデバイス用のエージェントレスの脆弱性スキャナー
• Infobyte/Faraday：ファラデーのオープンソースの脆弱性管理プラットフォーム - コミュニティV4リリース
• MITER/SAF：MITER SECURET AUTOMATIONフレームワーク（SAF）コマンドラインインターフェイス（CLI）は、MITERとセキュリティコミュニティが開発したアプリケーション、テクニック、ライブラリ、ツールをまとめて、システムとDEVOPSパイプラインのセキュリティオートメーションを合理化する
• devops-kung-fu/bomber：セキュリティの脆弱性のためのソフトウェア材料請求書（SBOM）をスキャン
• Rezilion/Mi-X：実際の悪用可能性（ランタイム実行、構成、許可、緩和の存在、OSなど）に影響するすべての要因を占めることにより、コンピューティングが特定の脆弱性に対して真に脆弱であるかどうかを判断します。
• OSSF-CVE-Benchmark/OSSF-CVE-Benchmark：OpenSSF CVE Benchmarkは、200を超える実生活のCVEのコードとメタデータで構成され、さまざまな静的分析セキュリティテスト（SAST）ツールを使用して脆弱なコードベースを分析し、それらのツールを評価するためのレポートを生成するツールです。
• コンテナシナリオの統合例については、Neuvector Docsの脆弱性管理を参照してください
• noqcks/xeol：コンテナ画像、システム、およびSBOMのための終末期（EOL）パッケージスキャナー
• MCHMARNY/VIMP：複数の脆弱性スキャナーのデータを比較して、潜在的な露出のより完全な画像を取得します。

VEXの専用セクションは次のとおりです。

• Cyclonedx-脆弱性のエクスプロイト性交換（VEX）
  • 脆弱性の実現可能性交換が説明しました：VEXがSBOMSを実行可能にする方法
  • VEXがSBOM+SLAがサプライチェーンの視認性を改善するのにどのように役立つかGoogle Cloudブログ
  • Vexとは何ですか、そしてSBOMSと何の関係がありますか？
  • Vexとは何ですか？それは脆弱性の悪用可能性交換です！
  • 脆弱性エクスプロイト性交換（VEX）標準
  • VexとSboms
  • VDRまたはVEX - どちらを使用しますか？パート1
  • ベックス！または... 1つの簡単なトリックでCVEノイズを減らす方法！フレデリック・カウツによって
  • 脆弱性エクスプロイト性交換（VEX） - ステータスの正当化
• リアルタイムベックス

参照してください：

• 非推奨パス上のVulnCode-DB
• Githubはサプライチェーンのセキュリティ機能をRustコミュニティにもたらします
• Cycognitoは、インパクトのためにMapping att＆ckからCVEを採用しています
• 読む：CVSSスコアの詳細、パッチマッドネス：ベンダーバグアドバイザリーが壊れているため、壊れており、脆弱性データベースとスコアリング方法論の不完全な見方
• 読む：SBOMの分析方法とCloudSmithからSBOMを生成してホストする方法
• 読む：GoogleのオープンソースInsightsチームからのアドバイザリーの後

このセクションには、入場および摂取ポリシー、プルタイム検証、エンドユーザーの検証が含まれます。

• Kyverno
  • 読む：Kyvernoとの画像スキャンを証明します
    • および：ocirepositoryソースを使用したOCIアーティファクトとしてKyvernoポリシーの管理
  • また：Testifysec/Judge-K8s：証明書Kubernetes入学コントローラーを使用して、証人の証明検証ライブラリを使用しています
• ckotzbauer/sbom-operator：syftを使用して複数のターゲットにkubernetesクラスターのすべての画像をカタログ化する
• Connaisseur- Kubernetesのコンテナ画像署名を確認します
• Sigstore/Policy-Controller：Cosignの検証可能な供給チェーンメタデータに関するクラスターのポリシーを実施するために使用されるポリシー入場管理者。
  • また、Lukehinds/Policy-Controller-Demo：Sigstore Kubernetesポリシーコントローラーとのキーレス署名のデモ
• Portieris/policies.md at main・ibm/portieris
• 再現可能なコンテナー/repro-get：再現性のあるapt/dnf/apk/pacman、コンテンツを伴う
• KPCYRD/PACMAN-BINTRANS：SigstoreとRekorを使用したPacmanの実験的バイナリ透明性
  • また、kpcyrd/apt-swarm：？ PGPに基づいて、透明性を更新するためのP2Pゴシップネットワーク？
• オープンポリシーエージェント
• Conftestでは、Open Policy Agent REGOクエリ言語を使用して、構造化された構成データに対するテストを作成できます。
• いくつかの事前コミットフックにより、コードベースへの依存摂取時間の直前に脆弱性チェックが可能になります
  • たとえば、Pyupio/Safety：安全セキュリティの脆弱性のためのインストールされた依存関係を安全チェックする
    • またはnpm-audit
      • また、snyk-labs/snyncを参照してください：依存関係のセキュリティ懸念を軽減するサプライチェーンセキュリティリスク
      • lirantal/lockfile-lint：セキュリティの問題を分析および検出するためのnpmまたはyarn lockfileの糸くず
    • またはreques.io |依存関係を監視します
    • またはBrakeman Security Scanner
    • またはTrailOfBits/PIP-Audit：既知の脆弱性のためにPython環境と依存性ツリーを監査する
      • また、参照：コードが脆弱性を呼び出している場合、DependAbotアラートが表示されるようになりました
      • および：data-dist-info-metadata（pep 658）を使用して、cosmicexplorerによるダウンロードから解像度を分離します。リクエスト＃11111・pypa/pip
    • 興味深いPython関連のプロジェクト：人工知能を使用してPythonアプリケーション用のソフトウェアスタックを分析および推奨するプロジェクトThoth
    • またはCheckMarx/ChainJacking：あなたのGo Lang Direct Github依存関係のどれがチェーンジャック攻撃の影響を受けやすいかを見つける
    • または貨物獣医とCrev-Dev/貨物 - 貨物 - 貨物（Rust）パッケージマネージャー向けの暗号化された検証可能なコードレビューシステム。
    • 自動検証ではなく、サプライチェーンセキュリティに関連するいくつかの重要なポイントを備えたJavaの包括的なガイダンス：JavaライブラリのGoogle Best Practices
• この段階では、依存関係の獲得を検出するために、この段階で静的分析がよく使用されます。
  • semgrep
    • Semgrep Supply Chainを始めましょう
    • また、Semgrepでセキュリティの脆弱性をキャッチすることも参照してください
  • マスター・ワイヤーグール/グーディットのs signatures/signature
  • Banyanops/Collector：Dockerコンテナ画像の静的分析のためのフレームワーク
  • Quay/Clair：容器の脆弱性静的分析
  • Datadog/GuardDog：GuardDogは、悪意のあるPYPIおよびNPMパッケージを識別するCLIツールです
  • Eliasgranderbio/dagda：既知の脆弱性、トロイの木馬、ウイルス、マルウェア、およびその他の悪意のある脅威の静的分析をDocker画像/コンテナに実行し、Docker Daemonを監視し、異常な活動を検出するためのDockerコンテナを実行するためのツール
    • ハーフブリリアント、ハーフ面白い、完全な役に立つ：KPCYRD/LIBREDEFENDER：情報セキュリティコンプライアンスガイドラインがウイルス対策が必要だと言っているが、Arch Linuxを実行していると想像してみてください
  • KICS-コードを安全に保つインフラストラクチャを保持します
  • Tinkerbell/Lint-Install：オープンソースプロジェクト用の合理的なリナールールを一貫してインストールします
  • パッケージインストールに関するhadolintルール、例：d16f342c8e70fcffc7a788d122a1ba602075250d・hadolint/hadolintなどのhadolint/readme.md
    • また、dockerfileリソーススキャン - bridgecrewio/checkovからのchechov：bridgecrewによるCheckovを使用して、Terraform、Cloudformation、Kubernetes、Serverlessフレームワーク、その他のインフラストラクチャとしてのコードとしてのインフラストラクチャとしてのビルド時間中のクラウドの誤った採掘を防止します。
    • and：xlab-si/iac-scan-runner：共通の脆弱性のコードとしてインフラストラクチャをスキャンするサービス
    • および：AWS-Samples/Automated-Security-Helper1
• 脆弱性評価| OpenScapポータル
• wazuhでlog4shellを検出します
• Aquasecurity/Starboard：Kubernetes-Native Security Toolkit
  • Kubernetesのセキュリティと右boardを始めましょう
• Armosec/Kubescape：Kubescapeは、リスク分析、セキュリティコンプライアンス、RBACビジュアライザー、画像脆弱性スキャンなど、マルチクラウドK8Sシングルペインのガラスのペインを提供するK8Sオープンソースツールです。
  • また、Kubescape Visual Studioコード拡張機能
• Ckotzbauer/脆弱性オペレーター：SBOMをスキャンして脆弱性をスキャンします
• Chen-Keinan/Kube-Beacon：K8Sクラスター用のオープンソースランタイムスキャナーとCIS Kubernetesベンチマーク仕様に基づいてセキュリティ監査チェックを実行する
• Aquasecurity/kube-bench：cis kubernetesベンチマークとアクアセキュリティ/kube-hunterで定義されているセキュリティベストプラクティスに従ってkubernetesが展開されているかどうかを確認します。
• OpenClarity/KubeClarity：KubeClarityは、ソフトウェアの材料請求書（SBOM）とコンテナ画像およびファイルシステムの脆弱性の検出と管理のためのツールです
• Stackrox/Stackrox：Stackrox Kubernetesセキュリティプラットフォームは、コンテナ環境のリスク分析を実行し、可視性とランタイムアラートを提供し、環境を強化してセキュリティを積極的に改善するための推奨事項を提供します。
• CloudQuery/Plugins/Source/K8S/Policies Main・CloudQuery/CloudQuery
• quarkslab/kdigger：kubernetes焦点を絞ったコンテナ評価と浸透テストのためのコンテキスト発見ツール
• OSSILLATE-INC/PACKJ：悪意のある/危険なオープンソースパッケージとPACKJを検出するための大規模なセキュリティ分析プラットフォームの背後にある審査ツール| 「危険な」パッケージを避けるための審査ツール
• DOOWON/SIGTOOL：sigtool signed pe files in go
• ソケットNPMラッパー - ソケット「Safe NPM」の導入
• safedep betの紹介| safedep

参照してください：

• Analysis-Tools-DEV/Static-Analysis：すべてのプログラミング言語、構成ファイル、ビルドツールなどの静的分析（SAST）ツールのキュレーションリスト。
• AnderseKnert/Awesome-OPA：OPA関連ツール、フレームワーク、記事のキュレーションリスト
• Jupiterone/secops-automation-examples：コードとしてセキュリティ/コンプライアンスを維持し、ジュピターネプラットフォームを使用してSecopsを自動化する方法についての例。
  • Cyclonedxを使用してソフトウェア材料請求書（SBOM）を生成する方法
• Stackrox / RhacsおよびSigstoreでCICDパイプラインを保護します
• 見る：あなたはあなたのパッケージマネージャーを信頼していますか？セキュリティフェスト2022で

そして、ライブラリやソフトウェアの依存関係を超えて見るべきいくつかのこと：

• システムの透明性|ベアメタルサーバーのセキュリティアーキテクチャ
• FWUPDのエミュレートホストプロファイル
• セキュアなブートが無効になっている場合、ユーザーに警告するgnome、他のファームウェアセキュリティヘルプの準備
• カーネル自己保護プロジェクト-Linuxカーネルセキュリティサブシステム
• keylime / keylime：エッジ /クラウドおよびIoTでブートストラップし、信頼を維持するためのCNCFプロジェクト
• ParallaxSecond/Parsec：セキュリティサービス用のプラットフォーム抽象化
• TPM Carte Blanche-Resistant Boot Atestation

このセクションには、開発者のアイデンティティ、OIDC、キーリング、関連トピックのプロジェクトとディスカッションの詳細が含まれます。

• Sigstoreの一部
  • コサイン
  • フルシオ
  • rekor
  • また、参照：KubernetesはSigstoreをタップしてオープンソースソフトウェアサプライチェーン攻撃を阻止します
  • OpenSSFランドスケープのSigstore固有のビュー
• CAS -CAS証明サービス
• 証人 - TestifySec/証人：証人は、ソフトウェアサプライチェーンのリスク管理のためのプラグ可能なフレームワークです。ソフトウェアアーティファクトの起源を自動化、正規化、および検証します。
  • ウォッチ：サプライチェーンを証人と一緒に保護する-Cole Kennedy、TestifySec
  • また、Testifysec/go-ima：go-imaは、ファイルが改ざんされているかどうかをチェックするツールです。 CIシステムの完全性を確保するのに役立ちます
• Puerco/Tejolote：ビルドの実行に関する署名されたSLSA出所の証明を生成するように設計された高度に構成可能なビルドエグゼクティタおよびオブザーバー。
• In-toto-run-Github MarketplaceおよびIntoto/Github-action：in-totoの起源Githubアクション
• GitHubアクション用のSLSA3ジェネリックジェネレーターの一般的な可用性
  • SLSAフレームワーク/SLSA-Github-Generator：GitHubアクションの言語存在に依存しないSLSA起源生成
  • 参照：証明クラフト|チェーンループドキュメント
• Technosophos/Helm-gpg：helmのgnupgを使用したチャートの署名と検証。
• CashApp/Pivitは、 gitと完全に互換性のあるPIVアプレットサポートを備えたスマートカードに保存されているX509証明書を管理するためのコマンドラインツールです
• 公証人：公証人：公証人は、誰もが任意のデータコレクションに対して信頼できるプロジェクトです。
  • NotaryProject/RoadMap：NotaryV2のロードマップ
  • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
  • notaryproject/tuf: The Update Framework for OCI Registries
    • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
    • Also see How to easily try out TUF + in-toto
    • Check out Python-TUF reaches version 1.0.0
    • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
    • Read: Secure Software Updates via TUF — Part 2
• deislabs/ratify: Artifact Ratification Framework
• latchset/tang: Tang binding daemon
• ietf-rats - Overview
• An exposed apt signing key and how to improve apt security
• See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
  • Another witness example with GitLab
• Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
• aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
• Read: Monitoring the kernel.org Transparency Log for a year
• Also read: Software Distribution Transparency and Auditability
• paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
  • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
• johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
• oras-project/artifacts-spec
• recipy/recipy: Effortless method to record provenance in Python
• spiffe/spire: The SPIFFE Runtime Environment
• Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
• google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
• Artifactory - Universal Artifact Management
• pyrsia/pyrsia: Decentralized Package Network
• transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
• Watch: Privacy-preserving Approaches to Transparency Logs

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

• in-toto | A framework to secure the integrity of software supply chains
• Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
  • Great read: SLSA | CloudSecDocs
  • Another L50 read: Building trust in our software supply chains with SLSA
  • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
    • Also, a framework mapping put together by Red Hat
  • A Practical Guide to the SLSA Framework by FOSSA
  • Read: Securing Gitpod's Software Supply Chain with SLSA
  • Read: A First Step to Attaining SLSA Level 3 on GitHub
  • And a pattern search across GitHub for inspiration (thanks @infernosec)
• OWASP Application Security Verification Standard, esp. V14 - Configuration
• OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
• CREST launches OWASP Verification Standard (OVS)
• SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
• SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
  • Related: A MAP for Kubernetes supply chain security
• Software Supply Chain Risk Management | BSIMM
• microsoft/scim: Supply Chain Integrity Model
  • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
• Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
  • Also Comply with NIST's secure software supply chain framework with GitLab
• The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
• SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
• npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
• CIS Software Supply Chain Security Guide
• microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
• GitHub's Implementing software security in open source
• Previously referenced: Google Best Practices for Java Libraries
• MITRE's System of Trust
• Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
• OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
• Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

• Zero Trust the Hard Way, Kelsey Hightower
• KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
• Supply Chain Risk Management

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

• Reproducible Builds, particularly the Documentation
  • rb ecosytem mapping
  • Reproducible Builds / reprotest
  • Is NixOS Reproducible?
• Bootstrappable Builds (GNU Mes Reference Manual)
  • Also read Bootstrappable builds from LWN
• tektoncd/chains: Supply Chain Security in Tekton Pipelines
  • Verifiable Supply Chain Metadata for Tekton - CD Foundation
• google/santa: A binary authorization system for macOS
• fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
• kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
  • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
• kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
• tag-security/sscsp.md at main · cncf/tag-security
• defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
• Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
  • Example using SBOM as an input: Inputs - Hoppr
• On instrumenting runners:
  • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
  • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
• reposaur/reposaur: Open source compliance tool for development platforms.
• buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
• chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
  • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
• aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database |アクアセキュリティ
• ossf/allstar: GitHub App to set and enforce security policies
• scribe-public/gitgat: Evaluate source control (GitHub) security posture
• Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
• crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
• wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
• oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
• jart/landlock-make: Sandboxing for GNU Make has never been easier
  • Read: Using Landlock to Sandbox GNU Make
• veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
• Changelog for Pants 2: The ergonomic build system
• Bazel is an open source build and test tool similar to Make, Maven, and Gradle
• GoogleContainerTools/kaniko: Build Container Images In Kubernetes
• sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
• buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
• eellak/build-recorder
  • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

• The reproducible-builds topic on GitHub
• Dependency management as part of Google Cloud's Artifact Registry documentation
• Security hardening for GitHub Actions
  • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
• Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
• Code Sight
• cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
  • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
• Read: What Makes a Build Reproducible, Part 2
• Read: Building a Secure Software Supply Chain with GNU Guix
• alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
• Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
• Read: Reproducible Builds: Break a log, good things come in trees
• Secure Your Software Factory with melange and apko
  • On the apko pattern, see Shopify/hansel
• kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

• A few resources, in addition to this repository, that can help keep up with news and announcements:
  • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
  • tl;dr sec Newsletter
  • Past Issues | CloudSecList
  • News - reproducible-builds.org
  • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
  • A visual reference by Enso Security: AppSec Map
  • A similar one: Jetstack | The Software Supply Chain Toolkit
  • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
  • A toolbox for a secure software supply chain from Chainguard
  • The Technology chapter in Snyk's DevSecOps series
  • A helpful list of acronyms: Acronyms | OpenSCAP portal
  • slsa/terminology.md at main · slsa-framework/slsa
  • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
  • Watch: How to start learning about Supply Chain Security
  • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

• Secure Software Development Fundamentals Courses - Open Source Security Foundation
  • Securing Your Software Supply Chain with Sigstore
• Census II of Free and Open Source Software — Application Libraries
• “Chain”ging the Game - how runtime makes your supply chain even more secure
• How to attack cloud infrastructure via a malicious pull request
• The Challenges of Securing the Open Source Supply Chain
• What is a Software Supply Chain Attestation - and why do I need it?
• Open Policy Agent 2021, Year in Review
• Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
• The state of software bill of materials: SBOM growth could bolster software supply chains
• Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
  • Secure Software Supply Chains
• A few resources to understand supply chain compromises:
  • Supply Chain Compromise - attackics
  • tag-security/supply-chain-security/compromises at main · cncf/tag-security
  • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
  • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
    • Endor Labs' version: Risk Explorer for Software Supply Chains
    • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
  • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
  • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
  • ossf/oss-compromises: Archive of various open source security compromises
  • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
  • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
  • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects.フィードバックようこそ！
• Improving TOFU (trust on first use) With Transparency
• Reports:
  • 2022 State of Cloud Native Security Report - Palo Alto Networks
  • 2022 Software Supply Chain Security Report • Anchore
• End-to-end demos and examples:
  • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
  • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
• Using SARIF to Extend Analysis of SAST Tools
• GitLab's Software Supply Chain Security section
  • Also read GitLab's Software Supply Chain Security Direction
• GitHub's SARIF support for code scanning
• Driving Developer Productivity via Automated Dependency Tracking
• Code scanning finds more vulnerabilities using machine learning
• Securing Open Source Software at the Source
• Security: The Value of SBOMs
• Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
• SBOMs in the Windows Supply Chain, from the SPDX User Group
• Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
• Binary Authorization for Borg: how Google verifies code provenance and implements code identity
• Application Security Weekly (Video) on Apple Podcasts
• How to prioritize the improvement of open source software security
  • And Strengthening digital infrastructure: A policy agenda for free and open source software
• Software Supply Chain Security Turns to Risk Mitigation
• Reproducible Builds: Increasing the Integrity of Software Supply Chains
• sigstore/community: General sigstore community repo
• CycloneDX Use Cases
  • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
• Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
• Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
• The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
• Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
• Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
• Watch: The state of open source security in 2022 with Kurt Seifried
• Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
• EO 14028 and Supply Chain Security
• Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
• Open Source Security Foundation (OpenSSF) Security Mobilization Plan
• Not Just Third Party Risk
• Open Source Security: How Digital Infrastructure Is Built on a House of Cards
• Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
• Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
• Supply Chain Security for Cloud Native Java (from Thomas Vitale)
• Podcast: It Depends with Trail of Bits
• New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
• Software Supply Chain Primer v0.93 (June 2022)