awesome software supply chain security

오픈 소스에 중점을 둔 소프트웨어 공급망 보안 도메인의 리소스 편집.

• 멋진 소프트웨어 공급 체인 보안
  • 이 목록에 대해
  • 의존성 지능
    • SCA와 SBOM
    • 취약성 정보 교환
  • 사용 지점 검증
    • 도서관을 넘어서 공급망
  • 정체성, 서명 및 출처
  • 프레임 워크 및 모범 사례 참조
  • 기술을 구축하십시오
  • 대화, 기사, 미디어 보도 및 기타 독서
    • 시작하고 신선한 상태

이 영역에는 규정 된 분류가 없습니다. 이 목록은 반드시 DevSecops, Sast, SCA 등과 같은 분야 및 카테고리와 중복이 있습니다.

Supply-Chain-Synthesis Repo는 왜 그런지에 대한 긴 형식의 읽기를 제공하며, 진화 할 때 이해하고 탐색하는 데 도움이되는 포인터를 제공합니다.

awesome-software-supply-chain-security 의 경우 다음과 같은 높은 수준의 접근 방식을 취합니다. 공급망의 다른 행위자는 체인에 표시된 요소에 대한 증거를 제공합니다.

이 공정 중심 관점에서, 증명은 방출되고 , 증강 (예 : 구성 중) 및 검증된다 .

이것을 보는 또 다른 방법은 Josh Bressers가 여기에 설명했으며 Spotify의 Wild의 이야기 예가 있습니다.

이 렌즈를 사용하여 우리는 큰 "피험자"(종속성), 뚜렷한 범주의 "사실"(라이센스 또는 취약점) 및 정체성, 출처 및 빌드 시스템의 특정 역할을 식별 할 수 있습니다. 이것은 현재 제목의 이론적 근거이며, 이론은 도메인과 함께 진화 할 것으로 예상됩니다.

도메인을 정의하기위한 진행중인 프로세스의 다른 예로는 공급망 시나리오로 잘못된 디자인 추가 · 문제 #249 · SLSA- 프레임 워크/SLSA와 SLSA가 더 광범위한 공급망 보안에 어떻게 적합합니까? · 문제 #276 · SLSA- 프레임 워크/SLSA. Dan Lorenc와 함께 Aeva Black 의이 트윗을 확인하여 몇 가지 주요 프로젝트에 대한 또 다른 핀치보기를 확인하십시오.

이 섹션에는 패키지 관리, 라이브러리 관리, 종속성 관리, 공급 된 종속성 관리,별로 검색, 패키지, 라이브러리 및 종속성 이름 지정, 라이브러리 행동 라벨링, 라이브러리 출판, 레지스트리 및 저장소, 출판 게이트 및 스캔, 종속성 수명주기가 포함됩니다.

• 오픈 소스 통찰력
• GUACSEC/GUAC : GUAC는 소프트웨어 보안 메타 데이터를 높은 충실도 그래프 데이터베이스로 집계합니다.
• 패키지 -URL/PURL-SPEC : PURL AKA의 최소 사양. "주로 Universal"URL 패키지, https://gitter.im/package-url/lobby에서 토론에 참여하십시오.
• 특정 의존성이 무엇 인지 또는 최소한 알려진지 이해하는 데 도움이되는 온라인 서비스 (일반적으로 purl , CPE 또는 다른 형태의 ecosystem:name:version 또는 해시를 통해) :
  • NSRL : COTS 소프트웨어 용 해시, Sleuthkit/Hfind에서 NSRLLOOKUP까지 툴링에 잘 통합되었습니다.
  • 공개 API (HTTP 및 DNS!)를 통해 쿼리 할 수있는 소스는 더 오픈 소스 인식이 될 수 있습니다.
  • Repology는 여러 배포에 걸쳐 Linux 패키지에 대한 전설적인 커버리지를 가지고 있습니다. Repology-Updater 및 기타 인프라 조각은 오픈 소스입니다. 공급망 보안 도메인에 대한 관심의 속성을 보유한 Wikidata의 업데이트를 제공합니다.
  • 데비안의 외부 리포지토리 메타 데이터
  • Tidelift 's Libraries.io는 API를 제공하며 30 개가 넘는 패키지 생태계 (및 유용한 오픈 소스 도구)를 지원합니다.
  • Whitesource의 Unified Agent는 또한 정교한 파일 매칭 능력을 제공합니다.
  • Software Heritage Project에는 대규모 섭취 기능이 있으며 해시가 알려진지 효율적으로 확인하고 파일에 특정 정보를 제공 할 수있는 API를 제공합니다.
    • SWH 스캐너 CLI도 참조하십시오
  • HASHDD- 알려진 좋은 암호화 해시
  • 좌표가 주어지면 오픈 소스 구성 요소에 대한 라이센스 정보를 명확하게 정의했습니다.
  • LGTM- 취약점을 찾고 방지하는 코드 분석 플랫폼은 Github Repo로 수동으로 검색 할 수 있습니다.
  • 이진 투명성 디렉토리는 해시 및 기타 속성의 패키지를 검색 할 수있는 API를 제공합니다.
    • 어떻게 든 관련 읽기는 CloudFlare가 코드 WhatsApp 웹을 사용자에게 제공하는 방법의 후반입니다.
    • 하위 소스 무결성
    • 이진 투명성에 대한 전설적인 읽기와 혼동하지 않음
• curl 을 통해 획득 한 입력의 경우 :
  • Spectralops/Preflight : Preflight는 최근 Codecov Hack과 같은 공급 공격 체인을 완화하기 위해 스크립트 및 실행 파일을 확인하는 데 도움이됩니다.
  • APIARYIO/CURL-TRACE-PARSER : CURL에서 출력을위한 파서-트레이스 옵션
    • CURL TRACE ASSESTOR · 문제 #139 · 증언/증인
  • 친구들은 친구가 말리지 않게하지 않습니다 | 세게 때리다
    • 그리고 매우 흥미로운 것은 컬 | 배쉬 및 기타 야생 물건의 포장을 가능하게합니다. Jordansissel에 의해 · 풀 요청 #1957 · Jordansissel/fpm
  • 팔코
  • Aquasecurity/Tracee : EBPF를 사용한 Linux 런타임 보안 및 법의학
  • Genuinetools/Bane : Docker 컨테이너 용 사용자 정의 및 더 나은 Apparmor 프로필 생성기.
  • 컨테이너/OCI-SECCOMP-BPF-HOOK : SYSCALLS를 추적하고 SECCOMP 프로파일을 생성하는 OCI 후크
  • Bottlerocket-OS/Hotdog : Hotdog는 Log4J Hot 패치를 컨테이너에 주입하는 데 사용되는 OCI 후크 세트입니다.
• Deepfence/ThreatMapper : 오픈 소스 클라우드 기본 보안 관찰 플랫폼. Linux, K8S, AWS Fargate 등.
• 의존성 확인
• OSSF/패키지 분석 : 오픈 소스 패키지 분석 및 OSSF/패키지 공급 : 언어 패키지 관리자를위한 피드 파싱 업데이트
  • 관련 : 패키지 분석 소개 : 악성 행동을위한 오픈 소스 패키지 스캔
  • 또한 OSS-Fuzz를 통한 ARGO 보안 자동화로 CNCF 환경과 Google/OSS-Fuzz : OSS-FUZZ- 오픈 소스 소프트웨어를위한 연속 퍼징을 퍼징으로써 보안을 향상시킵니다.
  • 및 Clusterfuzzlite
  • node.js의 경우 : CodeIntelligEncetesting/jazzer.js : node.js에 대한 보장 유도, 과정 내 퍼지
  • 또한, 응용 프로그램 관찰 가능성의 영역에서는 논란의 여지가 있지만, Intellabs/Control-Flag : 교육 데이터로부터 전형적인 표현을 학습함으로써 변칙적 인 소스 코드 표현을 플래그하는 시스템
• Abhisek/Supply-Chain-Security-Gateway : 공급망 보안 게이트웨이를위한 참조 아키텍처 및 개념 증명 구현
• CUGU/GOCAP : 종속성 기능을 나열하고 업데이트에 더 많은 기능이 필요한지 모니터링하십시오.
• MATE : 코드 속성 그래프를 사용한 대화식 프로그램 분석 및 Galoisinc/Mate 참조 : Mate는 코드 속성 그래프 및 문서를 사용하여 C 및 C ++ 코드의 버그 사냥에 중점을 둔 대화식 프로그램 분석을위한 도구입니다.
• Checkmarx/Chainalert-Github-Action : 계정 인수에 대한 의심이있는 경우 인기있는 패키지 및 경고를 스캔합니다.
• 오픈 소스 보안 재단 (OpenSSF) Alpha-Omega 프로젝트
• 소켓 - 자바 스크립트에 중점을 둔 수백만 개의 오픈 소스 패키지 찾기 및 비교
• 확산 : 파일, 아카이브 및 디렉토리의 심층 비교
• RedHatProductSecurity/Component-Registry : CORGI (Component Registry)는 Red Hat의 지원되는 제품, 관리 서비스 및 내부 제품 파이프 라인 서비스의 구성 요소 데이터를 집계합니다.
• TIDB Cloud로 구동되는 OSS Insight는 단일 Github 리포지토리/개발자를 깊이 분석하고 동일한 메트릭을 사용하여 두 개의 리포지토리를 비교하고 포괄적이고 귀중한 오픈 소스 통찰력을 제공하는 데 도움이되는 통찰력 도구입니다.
• Fossa Risk Intelligence의 개인 베타 베타 발표
• 프로젝트에서 | 소프트웨어 투명성 재단, OSSKB | 참조 무료 오픈 소스 인벤토리
  • 특히 : main · scanoss/scanoss.py의 scanoss.py/package.md
• 패키지 보안 보고서를 특징으로하는 Artifact Hub 및 COSIGN도 확인합니다.
• crt.sh | 인증서 검색
• grep.app | 코드 검색
• Github 코드 검색
• SearchCode | 소스 코드 검색 엔진
• SourceGraph의 SourceGraph
• 오픈 소스 허브의 오픈 소스 기고자, Codesee의 Docker-Slim 예를 참조하십시오.
• Snyk의 코드 검사기
• 시작 - 화학
• CVE 검색/GIT-VULN-FINDER : GIT 커밋 메시지에서 잠재적 인 소프트웨어 취약점 찾기
• Chaoss/Augur : 오픈 소스 소프트웨어 건강 및 지속 가능성 지표 및 데이터 수집을위한 Python Library 및 웹 서비스. https://chaoss.github.io/augur/에서 문서와 새로운 기고자 정보를 쉽게 찾을 수 있으며 웹 사이트 https://augurlabs.io에서 Augur에 대해 자세히 알아보십시오.
• IBM/CBOM : 암호화 자료 장
• AppTheReat/Blint : Blint는 보안 속성과 실행 파일의 기능을 확인하는 바이너리 라이터입니다. Lief에 의해 구동됩니다.

또한 읽기 :

• Taptuit/Awesome Devsecops : 최고의 DevSecops 리소스 및 툴링을 선별합니다.
• 읽기 : 윤곽 : 이진 투명성을위한 실용 시스템
• 몇 가지 흥미로운 개념 : Shopify/Seer Prototype : 보안 전문가 위험의 추출

이 섹션에는 패키지/라이브러리 스캐너 및 탐지기, SBOM 형식, 표준, 저자 및 검증 및 몇 가지 응용 프로그램이 포함됩니다. SCA를 포함 할 것입니다.

가장 완전한 참조는 AwesomesBom/Awesome-Sbom입니다. 발전기에 중점을 둔 또 다른 유용한 리포는 Cybeats/Sbomgen : SBOM 생성 도구 목록입니다.

• gitbom
  • 또한 : Git-Bom/Bomsh : Bomsh는 Gitbom 아이디어를 탐색하는 도구 모음입니다.
  • Yonhan3/Gitbom-Repo : Linux Binaries 용 Gitbom 문서 저장소
  • 듣기 : gitbom. 그것은 git 또는 sbom 및 gitbom이 아닙니다 : 공급망 보안 및 투명성을위한 Git의 그래프를 용도 변경
  • 또한 Main · DPP/BOMSAGE의 BOMSAGE/VISION.MD 및 MASTER · PKGCONF/PKGCONF의 PKGCONF/MAIN.C를 참조하십시오 (이 스레드의 추가 정보).
• NEXB/Scancode-Toolkit : Scancode는 코드에 사용 된 오픈 소스 및 타사 패키지를 발견하고 재고를 주 스캔 코드를 통해 라이센스, 저작권, 패키지 매니페스트 및 종속성 등을 감지합니다.
• OWASP의 SCA 도구 목록은 자체적으로 포괄적입니다
• Grafeas : 구성 요소 메타 데이터 API
• TRAILOFBITS/IT DENGET : 패키지 및 임의의 소스 코드 리포지토리를위한 종속성 그래프 및 소프트웨어 자료 (SBOM)를 자동으로 구축하는 도구.
• Mend Sca SBOM, Mend Bolt : 오픈 소스 취약점 및 화이트 소스 리노베이트 찾기 및 수정 : 자동화 된 종속성 업데이트
  • RenovateBot/Renovate : 워크 플로에 맞는 범용 종속성 업데이트 도구.
    • 또한 사용 사례를 읽으십시오 - 문서를 리노베이션하십시오
• JFrog Xray- 범용 구성 요소 분석 및 컨테이너 보안 스캔
• 의존성 트랙/의존성-트랙 : 종속성 트랙은 조직이 소프트웨어 공급망의 위험을 식별하고 줄일 수있는 지능형 구성 요소 분석 플랫폼입니다.
  • 의존성 트랙에 대해 잘 읽으십시오
• OSS-Review-Toolkit/ORT : 오픈 소스 소프트웨어 종속성 검토를 지원하는 일련의 도구.
• Anchore/Syft : 소프트웨어 이미지 및 소프트웨어 공급망 보안 솔루션의 파일 시스템에서 소프트웨어 재료 청구서를 생성하기위한 CLI 도구 및 라이브러리 • Anchore
  • 또한 참고 : New docker sbom 명령 Syft를 사용하여 SBOM을 만듭니다.
  • Syft 및 Sigstore를 사용하여 SBOM 증명을 만듭니다
  • 간단한 흐름 : main · Marco-lancini/utils의 utils/ci/github/docker-build-sign-sbom
• 발표 : 스캔은 이제 유지 보수 모드에 있습니다 · 문제 #352 · Shiftleftsecurity/Sast-Scan
• 컨테이너 보안 | Qualys, Inc.
• Aqua Cloud 기본 보안, 컨테이너 보안 및 서버리스 보안
• Tern-Tools/Tern : Tern은 소프트웨어 구성 분석 도구 및 Python Library로 컨테이너 이미지 및 Dockerfiles 용 소프트웨어 재료 장비를 생성합니다. Tern이 생성하는 SBOM은 컨테이너 내부의 내용에 대한 레이어로 층별로 볼 수 있습니다.
• 이 트윗에서 Mas
  • 또한 에너지 SBOM 개념 증명 -INL을 참조하십시오
• Phylum Analyze PR 조치 : Github 조치 Phylum의 오픈 소스 공급망 문제에 대한 풀 요청을 분석하는 Github 조치 | 소프트웨어 공급망 보안 회사
• Microsoft/Component-Setection : 프로젝트를 스캔하여 사용하는 구성 요소를 결정합니다.
• 드워프 5 표준
• 소프트웨어 식별 (SWID) 태깅 | 상호 운용 가능한 소프트웨어 식별 (SWID) 태그 생성을위한 CSRC 및 지침
• 간결한 소프트웨어 식별 태그
• Hughsie/Python-Uswid : EFI Binaries에 COSWID 태그를 포함시키는 작은 도구
  • 또한 스레드를 참조하십시오
    • 그리고 Coreboot의 실용적인 예
• CKOTZBAUER/SBOM-OPERATOR : Kubernetes 클러스터의 모든 이미지를 SYFT를 사용하여 여러 대상으로 카탈로그
• Dynatrace Application Security의 보안 문제 관리
• Defectdojo/Django-Defectdojo : Defectdojo는 DevSecops 및 취약성 관리 도구입니다.
  • 샘플과의 인상적인 통합 목록 : Defectdojo/Sample-Scan-Files : Defectdojo 가져 오기 테스트를위한 샘플 스캔 파일
• Swingletree-Soss/Swingletree : CI/CD 파이프 라인 도구의 결과를 통합하고 관찰하십시오.
• Mercedes -Benz/Sechub : Sechub- 하나의 API/클라이언트와 함께 다른 보안 도구를 사용하는 중심적이고 쉬운 방법 중 하나
• Marcinguy/Betterscan -CE : 코드 스캔/SAST/정적 분석/한 보고서 (Code, IAC)가있는 많은 도구/스캐너를 사용하는 Linting -Betterscan Community Edition (CE)
• BBVA/SUSTO : 체계적인 보편적 보안 테스트 오케스트레이션
• Appthreat/Rosa : 지금까지 매우 유망한 실험.
• Fossa의 SBOM 솔루션
• Rezillion Dynamic SBOM
• OpenSbom-Generator/SPDX-SBOM-Generator : Golang 툴링을 통해 CI 생성 SBOM을 지원합니다.
• Tauruseer의 SBOM 도구
• Soos의 지원되는 언어 및 매니페스트
• 요새 : 소프트웨어 자료 장
• Javixeneize/YASCA : 또 다른 SCA 도구
• Cybeats SBOM 스튜디오
• EdgeBitio/Edgebit-Build : Github 조치 SBOM을 Edgebit에 업로드하고 Edgebit에서 풀 요청에서 취약성 컨텍스트를 수신하는 조치-실시간 공급망 보안에서 보안 팀이 수고없이 취약성 개선을 목표로 조정하고 조정할 수 있습니다.
• REA의 소프트웨어 보증 가디언 포인트 맨 (SAG-PM)
• Microsoft/SBOM-TOOL : SBOM 도구는 다양한 유물을위한 SPDX 2.2 호환 SBOM을 만드는 매우 확장 가능하고 엔터프라이즈 준비 도구입니다.
• Veracode의 SCA 보안 스캔을 자동화하기위한 Veracode의 SCA, Demo : Veracode 소프트웨어 구성 분석을 사용하여 소프트웨어 재료 청구서 (SBOM) 생성 방법을 참조하십시오.
• Enterprise Edition -Blubracket : Code Security & Secret Detection
• 소프트웨어 구성 분석 (SCA) | 사이버 레스
• Nexus Intelligence- 소아 타입 데이터 서비스
• Appthreat/Dep-Scan : 알려진 취약점 및 자문을 기반으로 한 프로젝트 종속성에 대한 완전한 오픈 소스 보안 감사. 로컬 리포와 컨테이너 이미지를 모두 지원합니다. Azure Pipelines, Circleci, Google CloudBuild와 같은 다양한 CI 환경과 통합됩니다. 서버가 필요하지 않습니다!
• SBS2001/FATBOM : FATBOM (Fat Bill of Materials)은 다양한 도구로 생성 된 SBOM을 하나의 지방 SBOM으로 결합한 도구입니다. 따라서 각 도구의 강도를 활용하십시오.
• 소나 타입 BOM 의사
• jhutchings1/spdx-to-dependency-graph-action : spdx sboms를 가져 와서 Github의 종속성 제출 API에 의존하는 경고에 전원을 공급하는 github 조치
  • 또한 참조 : Evryfs/SBOM-DENGENCE-SUBMISSION-ACTOCT : SBOMS를 GitHub의 종속성 제출 API에 제출하십시오.
  • 의존성 제출 문서
• Tap8Stry/Orion : SBOM의 패키지 관리자 발견을 넘어서십시오
• Patriksvensson/Covenant : 소스 코드 아티팩트에서 SBOM (소프트웨어 자료)을 생성하는 도구.
• Cyclonedx/Cyclonedx-Webpack-Plugin : 컴파일 타임에 Webpack 번들로부터 Cyclonedx 소프트웨어 재료 청구서 (SBOM)를 만듭니다.
• Advancedecurity/GH-SBOM : GH CLI로 SBOM을 생성합니다
• Interlynk -IO/SBOMQS : SBOM 품질 점수 - SBOM의 품질 메트릭
• eBay/sbom-scorecard : SBOM이 실제로 유용 할 것인지 이해할 수있는 점수를 생성하십시오.

더 흥미로운 자료 :

• 브레이크 다운 보안 팟 캐스트 : 2020-031- Allan Friedman, SBOM, 소프트웨어 투명성 및 소시지가 어떻게 만들어 졌는지 아는 것
• 에피소드 312 : SBOM의 전설
• 사이버 팟 캐스트 재구성 : log4j 취약점은 알 수없는 종속성에서 가혹한 교훈을 제공합니다.
• 기술 부채 번 다운 팟 캐스트 시리즈 1 E11 : Allan Friedman 및 SBOMS
• SBOMS의 Sounil Yu, 소프트웨어 공급망 보안 - 보안 대화
• 보안 탐색. SBOM의 중요성. Scott McGregor, Cloud Security, Wind River
• 보안 Rabbithole Podcast : DTSR 에피소드 487- 소프트웨어 공급망은 BFD입니다.
• 소프트웨어 구성 분석 팟 캐스트 : 소프트웨어 공급망 - 에피소드 1
• 비판적 업데이트 : 소프트웨어에 무엇이 있는지 알고 있습니까?
• 소프트웨어 자료 청구서 | 시사
• SBOM 사용 사례 -RKVST 및 RKVST SBOM HUB -RKVST
  • SBOM HUB -NTIA 속성 매핑도 읽습니다
• BOF : 임베디드 시스템 용 SBOMS : 작동하는 것은 무엇입니까? -Kate Stewart, Linux Foundation
• 그 멍청이에 관한 모든 것, '그 멍청이 -Melba Lopez, IBM
• OWASP CYCLONEDX는 SBOM Exchange API를 시작합니다
• 읽기 : SBOM 관리 | 6 가지 방법은 SBOM이 스프롤을 방지합니다
• 읽기 : NTIA는 소프트웨어 자료의 최소 요소
• 읽기 : SBOM이 당신을 위해 할 수있는 일

몇몇 오픈 소스 프로젝트는 공개적으로 종속성을 얻는 방법을 문서화하고 있습니다. 이 의도적이고 인간이 부족한 긴 형식의 예는 다음과 같습니다.

• Envoy/fectionency_policy.md Main · Envoyproxy/Envoy
• 의존성에서 컬이 기대하는 것
• 보안 : 플럭스에서 SBOM의 값

• OSV
  • 읽기 : SBOM이 작동 : 소프트웨어 자료로 취약점 찾기
  • 관련 : SPDX/SPDX-to-OSV : SPDX 문서의 정보를 기반으로 오픈 소스 취약성 JSON 파일 생성 JSON 파일
  • 도구 : Google/OSV-Scanner : https://osv.dev가 제공하는 데이터를 사용하는 Go에서 작성된 취약성 스캐너
• Qualys의 취약성 감지 파이프 라인
• vuls · Linux/freebsd 용 에이전트없는 취약성 스캐너
• 취약성 데이터베이스, API도 사용할 수 있습니다. vuldb를 참조하십시오
• AppTheReat/Dexnerability-DB : OSV, NVD, Github 및 NPM과 같은 소스에 대한 취약성 데이터베이스 및 패키지 검색.
• Aquasecurity/Trivy : 컨테이너 이미지, 파일 시스템 및 GIT 저장소의 취약점 및 구성 문제에 대한 스캐너
• 코드 보안을위한 sast | Snyk 코드
  • Snyk에서 오픈 소스 라이브러리 선택
• 대조 커뮤니티 에디션
• 알려진 악용 취약성 카탈로그 | 시사
• CVE 검색/CVE 검색 : CVE 검색-알려진 취약점에 대한 로컬 검색을 수행하는 도구
• Exein-Io/Kepler : NIST 기반 CVE Lookup Store 및 API에 의해 Rust에 의해 구동되는 API
• NEXB/DEXNERABLECODE : 무료 및 개방형 취약점 데이터베이스 및 그에 영향을 미치는 패키지에 대한 진행중인 작업. 이러한 취약점을 집계하고 상관시키는 도구. https://www.aboutcode.org/ https://gitter.im/aboutcode-org/vulnerablecode에 대한 nlnet https://nlnet.nl/project/vulnerabilitydatabase/의 후원
• ToolSwatch/VFEED : 상관 관계 CVE 취약성 및 위협 인텔리전스 데이터베이스 API
• OSSF/스코어 카드 : 보안 스코어 카드 - 오픈 소스, OpenSSF Metrics 및 OSSF/Security -Reviews에 대한 보안 건강 메트릭 : 오픈 소스 소프트웨어 구성 요소의 보안 검토 커뮤니티 컬렉션.
  • OSSF/스코어 카드 액션 : OSSF 스코어 카드에 대한 공식 Github 액션.
    • 참고 : Scorecard의 Github Action V2 Action은 Sigstore와 함께 Github OIDC를 사용하는 방법
  • 또한 보안 통찰력 사양을 엽니 다
  • 읽기 : 오픈 소스 소프트웨어 위험을 평가하는 데 도움이 될 수있는 방법
  • 훌륭한 실생활 예 : Eclipse Foundation Github 저장소 상태
• Lynis- Linux/Unix의 보안 감사 및 경화 도구
• 피해자/피해자 -CVE-DB : CVE 데이터베이스 스토어
• 앵커/그라테 : 컨테이너 이미지 및 파일 시스템에 대한 취약성 스캐너
  • 또한 Github 조치 취약점을 식별하기 위해 Grype를 사용하여 참조하십시오
  • 또한 Grype는 이제 CyclonEdx 및 SPDX 표준을 지원합니다
• Github Advisory Database는 이제 커뮤니티 기여에 열려 있습니다
• 글로벌 보안 데이터베이스 실무 그룹 | CSA는 또한 CloudSecurityAlliance/GSD-Database : Global Security Database를 참조하십시오
• Trickest/CVE : POC로 사용 가능한 모든 최신 CVE를 수집하고 업데이트하십시오.
• RFC 9116 : 보안 취약성 공개를 돕기위한 파일 형식
• ASP vuln-to-commit 연습 : Quarkslab/aosp_dataset : ASP CVE를 기반으로하는 대규모 커밋 정확한 취약성 데이터 세트
  • 수준의 취약성 데이터 세트를 커밋합니다
• NYPH-Infosec/Daggerboard
• Davideshay/Vulnscan : 고고의 고형 및 Syft를 기반으로 한 취약성 스캐너 스위트
• Devops-Kung-Fu/Bomber : SBOMS를 보안 취약점을 스캔합니다
• 요새 : 취약성 관리
• 취약성 관리 | 아돌 루스
• Secvisogram/Secvisogram : Secvisogram은 CSAF 2.0 형식의 보안 자문을 작성하고 편집하기위한 웹 도구입니다.
• Future-Ararchitect/Vuls : Linux, FreeBSD, 컨테이너, 워드 프레스, 프로그래밍 언어 라이브러리, 네트워크 장치 용 에이전트없는 취약성 스캐너
• Infobyte/Faraday : Faraday의 오픈 소스 취약성 관리 플랫폼 - 커뮤니티 V4 릴리스
• Miter/SAF : Miter Security Automation Framework (SAF) 명령 줄 인터페이스 (CLI)는 시스템 및 DevOps 파이프 라인에 대한 보안 자동화를 간소화하기 위해 애플리케이션, 기술, 라이브러리 및 도구를 통합합니다.
• Devops-Kung-Fu/Bomber : 보안 취약점을위한 소프트웨어 자료 (SBOM) 스캔
• Rezilion/MI-X : 실제 착취성 (런타임 실행, 구성, 권한, 완화, OS 등)에 영향을 미치는 모든 요소를 ​​설명함으로써 컴퓨팅이 특정 취약성에 실제로 취약한 지 결정합니다.)
• OSSF-CVE-BENCHMARK/OSSF-CVE-BENCHMARM : OPENSSF CVE 벤치 마크는 200 개가 넘는 실제 CVE에 대한 코드 및 메타 데이터로 구성되며 다양한 정적 분석 보안 테스트 (SAST) 도구를 사용하여 취약한 코드베이스를 분석하고 해당 도구를 평가하기위한 보고서를 생성하는 툴링으로 구성됩니다.
• 컨테이너 시나리오의 통합 예를 위해 Neuvector 문서의 취약성 관리를 참조하십시오.
• NOQCKS/XEOL : 컨테이너 이미지, 시스템 및 SBOMS 용 수명이 끝나는 (EOL) 패키지 스캐너
• MCHMARNY/VIMP : 여러 취약성 스캐너의 데이터를 비교하여 잠재적 노출에 대한보다 완전한 그림을 얻으십시오.

VEX의 전용 섹션은 다음과 같습니다.

• Cyclonedx- 취약성 익스플로잇 레스티블 교환 (VEX)
  • 취약성 익스플로잇 가능성 교환이 설명 : VEX가 SBOM을 실행 가능하게 만드는 방법
  • VEX가 SBOM+SLSA가 공급망 가시성을 향상시키는 데 도움이되는 방법 | Google 클라우드 블로그
  • Vex는 무엇이며 SBOM과 어떤 관련이 있습니까?
  • Vex는 무엇입니까? 취약성 익스플로잇 교환입니다!
  • 취약성 익스플로잇 교환 (VEX) 표준
  • vex와 sboms
  • VDR 또는 VEX - 어떤 사용합니까? 1 부
  • vex! 또는 ... 하나의 간단한 트릭으로 CVE 노이즈를 줄이는 방법! Frederick Kautz
  • 취약성 익스플로잇 레스티블 교환 (VEX) - 상태 정당화
• 실시간 vex

또한 참조 :

• 감가 상각 경로에서 Vulncode-DB
• Github는 Rust 커뮤니티에 공급망 보안 기능을 제공합니다.
• Cycognito는 충격을 위해 매핑 ATT & CK를 CVE에 채택합니다
• 읽기 : CVSS 점수, 패치 광기에 대한 자세한 내용 : 공급 업체 버그 권고가 깨져서 고장 났으며 취약성 데이터베이스 및 점수 지정 방법론에 대한 불완전한 모습
• 읽기 : SBOM 분석 방법 및 클라우드 스미스에서 SBOM을 생성하고 호스팅하는 방법
• 읽기 : Google 오픈 소스 통찰력 팀의 자문 후

이 섹션에는 입학 및 수집 정책, 풀 타임 검증 및 최종 사용자 확인이 포함됩니다.

• Kyverno
  • 읽기 : Kyverno로 이미지 스캔을 증명합니다
    • 및 : OCIREPOSORITOR 소스를 사용한 OCI 아티팩트로 Kyverno 정책 관리
  • 또한 : 증언 증명서 검증 라이브러리를 이용한 개념 증명 kubernetes 입학 컨트롤러
• CKOTZBAUER/SBOM-OPERATOR : Kubernetes 클러스터의 모든 이미지를 SYFT를 사용하여 여러 대상으로 카탈로그
• Connaisseur- Kubernetes의 컨테이너 이미지 서명을 확인하십시오
• Sigstore/Policy-Controller : 정책 입학 컨트롤러는 COSIGN의 검증 가능한 공급 체인 메타 데이터에 대한 클러스터의 정책을 시행하는 데 사용되었습니다.
  • 또한 : Lukehinds/Policy-Controller-Demo : Sigstore Kubernetes 정책 컨트롤러와 키리스 서명의 데모
• Main · IBM/Portieris의 Portieris/Policies.md
• 재현성이있는 콘텐츠/Repro-Get : 컨텐츠 포기와 함께 재현 가능한 APT/DNF/APK/PACMAN
• KPCYRD/PACMAN-BINTRANS : Sigstore 및 Rekor와 Pacman의 실험적 이진 투명성
  • 또한 KPCYRD/APT-SWARM :? PGP를 기반으로 한 업데이트 투명성을위한 P2P 가십 네트워크?
• 오픈 정책 에이전트
• Conftest는 공개 정책 에이전트 Rego Query 언어를 사용하여 구조화 된 구성 데이터에 대해 테스트를 작성할 수 있습니다.
• 몇 가지 사전 커밋 후크는 코드베이스에 의존성 섭취 시간 직전에 취약점을 확인할 수 있습니다.
  • 예 : Pyupio/Safety : 안전한 보안 취약점에 대한 설치된 종속성을 안전하게 확인합니다.
    • 또는 NPM-Audit
      • 또한 Snyk-Labs/Snync : 의존성 혼동의 보안 문제를 완화 공급망 보안 위험을 참조하십시오.
      • 및 Lirantal/Lockfile-Lint : 보안 문제를 분석하고 탐지하기 위해 NPM 또는 원사 잠금 장치를 보풀
    • 또는 필요합니다 .io | 의존성을 모니터링하십시오
    • 또는 Brakeman 보안 스캐너
    • 또는 TRAIROFBITS/PIP-AUDIT : 알려진 취약점에 대한 파이썬 환경 및 종속성 트리를 감사합니다.
      • 또한 코드가 취약성을 호출하는 경우 Dependabot Alerts가 이제 표면적으로 표시됩니다.
      • 및 : CosmicexPlorer의 다운로드에서 해상도를 해체하기 위해 데이터-다이스트-인포-메타 데이터 (PEP 658)를 사용하여 · PULL 요청 #11111 · PYPA/PIP
    • 흥미로운 파이썬 관련 프로젝트 : Project Thoth, 인공 지능을 사용하여 Python 응용 프로그램을위한 소프트웨어 스택을 분석하고 권장합니다.
    • 또는 CheckMarx/Chainjacking : Go Lang Direct Github 종속성 중 어느 것이 체인 재킹 공격에 취약한 지 찾습니다.
    • 또는화물 수의사 및 CREV-DEV/CARGO-CREV : Cargo (Rust) 패키지 관리자에 대한 암호적으로 검증 가능한 코드 검토 시스템.
    • 자동화 된 유효성 검사가 아니라 공급망 보안과 관련된 몇 가지 중요한 점을 가진 Java에 대한 포괄적 인 지침 : Java 라이브러리를위한 Google 모범 사례
• 정적 분석은 종종 의존성 획득을 감지하기 위해이 단계에서 종종 사용됩니다.
  • SEMGREP
    • Semgrep 공급망을 시작합니다
    • 또한 Semgrep로 보안 취약점을 포착합니다
  • Master · Wireghoul/Graudit의 Graudit/Signatures
  • Banyanyops/Collector : Docker 컨테이너 이미지의 정적 분석을위한 프레임 워크
  • Quay/Clair : 컨테이너의 취약성 정적 분석
  • Datadog/Guarddog : Guarddog는 악의적 인 PYPI 및 NPM 패키지를 식별하는 CLI 도구입니다.
  • Eliasgranderubio/Dagda : Docker 이미지/컨테이너의 알려진 취약성, 트로이 목마, 바이러스, 악성 분석 및 기타 악의적 인 위협에 대한 정적 분석을 수행하고 Docker Daemon을 모니터링하고 Docker 컨테이너를 실행하여 변칙적 활동을 감지하는 도구
    • Half Brilliant, Half Funny, Full Helppent : KPCyrd/LibreDefender : 정보 보안 준수 가이드 라인을 상상해보십시오. 안티 바이러스가 필요하지만 아치 Linux를 실행합니다.
  • KICS- 인프라를 코드 보안으로 유지합니다
  • Tinkerbell/Lint-Install : 오픈 소스 프로젝트에 대한 합리적인 Linter 규칙을 지속적으로 설치하십시오
  • 패키지 설치에 대한 hadolint 규칙, 예를 들어 D16F342C8E70FCFFC7A788D12A1BA602075250D · Hadolint/Hadolint
    • 또한 Dockerfile Resource Scan-BridgeCrewio/Checkov의 Checkov : Terraform, CloudFormation, Kubernetes, Serverless Framework 및 기타 인프라로 인프라-언어에 대한 CHECKOV에 대한 언어에 대한 구름 오해를 방지합니다.
    • 및 : XLAB-SI/IAC-SCAN-RUNNER : 인프라를 일반적인 취약점을위한 코드로 스캔하는 서비스
    • 및 : AWS-Samples/Automated-Security-Helper1
• 취약성 평가 | OpenScap 포털
• Wazuh로 log4shell 감지
• Aquasecurity/Starboard : Kubernetes-Native Security Toolkit
  • Kubernetes 보안 및 우현을 시작하십시오
• ARMOSEC/KUBESCAPE : Kubescape는 위험 분석, 보안 준수, RBAC 시각화 및 이미지 취약성 스캔을 포함하여 멀티 클라우드 K8S 단일 창을 제공하는 K8S 오픈 소스 도구입니다.
  • 또한 : Kubescape Visual Studio Code Extension
• CKOTZBAUER/BOPNERABILITY-OPERATOR : SBOMS를 취약성에 대해 스캔합니다
• Chen-Keinan/Kube-Beacon : K8S 클러스터를위한 오픈 소스 런타임 스캐너 CIS Kubernetes 벤치 마크 사양을 기반으로 보안 감사 확인을 수행하십시오.
• Aquasecurity/Kube-Bench : CIS Kubernetes 벤치 마크 및 AquaseCurity/Kube-Hunter에 정의 된대로 보안 모범 사례에 따라 Kubernetes가 배포되는지 확인합니다.
• OpenClarity/Kubeclarity : Kubeclarity
• STACKROX/STACKROX : STACKROX KUBERNETES 보안 플랫폼은 컨테이너 환경에 대한 위험 분석을 수행하고 가시성 및 런타임 경고를 전달하며 환경을 강화하여 보안을 적극적으로 개선하기위한 권장 사항을 제공합니다.
• CloudQuery/Plugins/Source/K8S/Main · CloudQuery/CloudQuery의 정책
• Quarkslab/Kdigger : Kubernetes에 중점을 둔 컨테이너 평가 및 컨텍스트 발견 도구 침투 테스트
• OSSILLATE-INC/PACKJ : 악의적/위험한 오픈 소스 패키지 및 Packj를 감지하기위한 대규모 보안 분석 플랫폼 뒤의 심사 도구 | "위험한"패키지를 피하기위한 심사 도구
• Doowon/Sigtool : GO에 서명 된 PE 파일을위한 SigTool
• 소켓 NPM 래퍼 - 소켓 인 "Safe NPM"을 소개합니다
• Safedep 수의사 소개 | SAFEDEP

또한 참조 :

• Analysis-Tools-Dev/정적 분석 : 모든 프로그래밍 언어, 구성 파일, 빌드 도구 등에 대한 선별 된 정적 분석 (SAST) 도구 목록.
• Anderseknert/Awesome-OPA : 선별 된 OPA 관련 도구, 프레임 워크 및 기사 목록
• jupiterone/secops-automation-examples : 보안/준수를 코드로 유지하고 Jupiterone 플랫폼을 사용하여 Secops를 자동화하는 방법에 대한 예제.
  • CyclonEdx를 사용하여 소프트웨어 재료 청구서 (SBOM)를 생성하는 방법
• STACKROX / RHACS 및 SIGSTORE로 CICD 파이프 라인 확보
• 시청 : 패키지 관리자를 신뢰합니까? 보안 페스트 2022에서

라이브러리 및 소프트웨어 종속성을 넘어 볼 몇 가지 사항 :

• 시스템 투명성 | 베어 메탈 서버를위한 보안 아키텍처
• FWUPD에서 에뮬레이션 된 호스트 프로파일
• 보안 부팅이 비활성화 된 경우 사용자에게 경고하는 Gnome, 다른 펌웨어 보안 도움말 준비
• 커널 자체 보호 프로젝트 -Linux 커널 보안 서브 시스템
• Keylime / Kyylime : Edge / Cloud 및 IoT에 대한 신뢰를 부트 스트랩하고 유지하는 CNCF 프로젝트
• 시차 소드/PARSEC : 보안 서비스를위한 플랫폼 추상화
• TPM Carte Blanche 저항성 부팅 증명

이 섹션에는 개발자 정체성, OIDC, 키링 및 관련 주제에 대한 프로젝트 및 토론 세부 사항이 포함됩니다.

• Sigstore의 일부
  • COSIGN
  • 풀시오
  • Rekor
  • 또한 참조 : Kubernetes는 Sigstore를 탭하여 오픈 소스 소프트웨어 공급망 공격을 방해합니다.
  • OpenSSF 환경에 대한 Sigstore 별보기
• CAS -CAS 증명 서비스
• 증인 - 증언/증인 : 증인은 소프트웨어 공급망 위험 관리를위한 플러그 가능한 프레임 워크입니다. 소프트웨어 아티팩트 출처를 자동화, 정규화 및 검증합니다.
  • 시청 : 증인으로 공급망 확보 -Cole Kennedy, redifysec
  • 또한 다음을 참조하십시오. redifysec/go-iMa : go-IMA는 파일이 변조되었는지 확인하는 도구입니다. CI 시스템의 무결성을 보장하는 데 유용합니다
• PUERCO/TEJOLOTE : 빌드 런에 대한 서명 된 SLSA 출처 증명을 생성하도록 설계된 매우 구성 가능한 빌드 executor 및 옵저버.
• 내동 실행-Github 마켓 플레이스 및 내부/Github- 액션 : TOTO 혁신 Github Action
• GitHub 동작을위한 SLSA3 일반 생성기의 일반 가용성
  • SLSA-FRAMEWORK/SLSA-GITHUB-GENERATOR : GITHUB 동작을위한 언어 공유 SLSA 출처 생성
  • 또한 : 증명 공예 | 체인 루프 문서
• Technosophos/Helm-GPG : GNUPG를위한 차트 서명 및 검증.
• Cashapp git Pivit
• NotaryProject/Notary : 공증인
  • NotaryProject/Roadmap : NotaryV2 용 로드맵
  • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
  • notaryproject/tuf: The Update Framework for OCI Registries
    • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
    • Also see How to easily try out TUF + in-toto
    • Check out Python-TUF reaches version 1.0.0
    • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
    • Read: Secure Software Updates via TUF — Part 2
• deislabs/ratify: Artifact Ratification Framework
• latchset/tang: Tang binding daemon
• ietf-rats - Overview
• An exposed apt signing key and how to improve apt security
• See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
  • Another witness example with GitLab
• Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
• aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
• Read: Monitoring the kernel.org Transparency Log for a year
• Also read: Software Distribution Transparency and Auditability
• paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
  • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
• johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
• oras-project/artifacts-spec
• recipy/recipy: Effortless method to record provenance in Python
• spiffe/spire: The SPIFFE Runtime Environment
• Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
• google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
• Artifactory - Universal Artifact Management
• pyrsia/pyrsia: Decentralized Package Network
• transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
• Watch: Privacy-preserving Approaches to Transparency Logs

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

• in-toto | A framework to secure the integrity of software supply chains
• Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
  • Great read: SLSA | CloudSecDocs
  • Another L50 read: Building trust in our software supply chains with SLSA
  • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
    • Also, a framework mapping put together by Red Hat
  • A Practical Guide to the SLSA Framework by FOSSA
  • Read: Securing Gitpod's Software Supply Chain with SLSA
  • Read: A First Step to Attaining SLSA Level 3 on GitHub
  • And a pattern search across GitHub for inspiration (thanks @infernosec)
• OWASP Application Security Verification Standard, esp. V14 - Configuration
• OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
• CREST launches OWASP Verification Standard (OVS)
• SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
• SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
  • Related: A MAP for Kubernetes supply chain security
• Software Supply Chain Risk Management | BSIMM
• microsoft/scim: Supply Chain Integrity Model
  • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
• Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
  • Also Comply with NIST's secure software supply chain framework with GitLab
• The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
• SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
• npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
• CIS Software Supply Chain Security Guide
• microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
• GitHub's Implementing software security in open source
• Previously referenced: Google Best Practices for Java Libraries
• MITRE's System of Trust
• Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
• OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
• Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

• Zero Trust the Hard Way, Kelsey Hightower
• KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
• 공급망 위험 관리

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

• Reproducible Builds, particularly the Documentation
  • rb ecosytem mapping
  • Reproducible Builds / reprotest
  • Is NixOS Reproducible?
• Bootstrappable Builds (GNU Mes Reference Manual)
  • Also read Bootstrappable builds from LWN
• tektoncd/chains: Supply Chain Security in Tekton Pipelines
  • Verifiable Supply Chain Metadata for Tekton - CD Foundation
• google/santa: A binary authorization system for macOS
• fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
• kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
  • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
• kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
• tag-security/sscsp.md at main · cncf/tag-security
• defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
• Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
  • Example using SBOM as an input: Inputs - Hoppr
• On instrumenting runners:
  • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
  • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
• reposaur/reposaur: Open source compliance tool for development platforms.
• buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
• chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
  • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
• aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database | Aqua Security
• ossf/allstar: GitHub App to set and enforce security policies
• scribe-public/gitgat: Evaluate source control (GitHub) security posture
• Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
• crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
• wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
• oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
• jart/landlock-make: Sandboxing for GNU Make has never been easier
  • Read: Using Landlock to Sandbox GNU Make
• veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
• Changelog for Pants 2: The ergonomic build system
• Bazel is an open source build and test tool similar to Make, Maven, and Gradle
• GoogleContainerTools/kaniko: Build Container Images In Kubernetes
• sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
• buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
• eellak/build-recorder
  • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

• The reproducible-builds topic on GitHub
• Dependency management as part of Google Cloud's Artifact Registry documentation
• Security hardening for GitHub Actions
  • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
• Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
• Code Sight
• cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
  • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
• Read: What Makes a Build Reproducible, Part 2
• Read: Building a Secure Software Supply Chain with GNU Guix
• alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
• Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
• Read: Reproducible Builds: Break a log, good things come in trees
• Secure Your Software Factory with melange and apko
  • On the apko pattern, see Shopify/hansel
• kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

• A few resources, in addition to this repository, that can help keep up with news and announcements:
  • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
  • tl;dr sec Newsletter
  • Past Issues | CloudSecList
  • News - reproducible-builds.org
  • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
  • A visual reference by Enso Security: AppSec Map
  • A similar one: Jetstack | The Software Supply Chain Toolkit
  • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
  • A toolbox for a secure software supply chain from Chainguard
  • The Technology chapter in Snyk's DevSecOps series
  • A helpful list of acronyms: Acronyms | OpenSCAP portal
  • slsa/terminology.md at main · slsa-framework/slsa
  • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
  • Watch: How to start learning about Supply Chain Security
  • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

• Secure Software Development Fundamentals Courses - Open Source Security Foundation
  • Securing Your Software Supply Chain with Sigstore
• Census II of Free and Open Source Software — Application Libraries
• “Chain”ging the Game - how runtime makes your supply chain even more secure
• How to attack cloud infrastructure via a malicious pull request
• The Challenges of Securing the Open Source Supply Chain
• What is a Software Supply Chain Attestation - and why do I need it?
• Open Policy Agent 2021, Year in Review
• Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
• The state of software bill of materials: SBOM growth could bolster software supply chains
• Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
  • Secure Software Supply Chains
• A few resources to understand supply chain compromises:
  • Supply Chain Compromise - attackics
  • tag-security/supply-chain-security/compromises at main · cncf/tag-security
  • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
  • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
    • Endor Labs' version: Risk Explorer for Software Supply Chains
    • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
  • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
  • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
  • ossf/oss-compromises: Archive of various open source security compromises
  • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
  • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
  • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects. Feedback welcome!
• Improving TOFU (trust on first use) With Transparency
• Reports:
  • 2022 State of Cloud Native Security Report - Palo Alto Networks
  • 2022 Software Supply Chain Security Report • Anchore
• End-to-end demos and examples:
  • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
  • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
• Using SARIF to Extend Analysis of SAST Tools
• GitLab's Software Supply Chain Security section
  • Also read GitLab's Software Supply Chain Security Direction
• GitHub's SARIF support for code scanning
• Driving Developer Productivity via Automated Dependency Tracking
• Code scanning finds more vulnerabilities using machine learning
• Securing Open Source Software at the Source
• Security: The Value of SBOMs
• Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
• SBOMs in the Windows Supply Chain, from the SPDX User Group
• Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
• Binary Authorization for Borg: how Google verifies code provenance and implements code identity
• Application Security Weekly (Video) on Apple Podcasts
• How to prioritize the improvement of open source software security
  • And Strengthening digital infrastructure: A policy agenda for free and open source software
• Software Supply Chain Security Turns to Risk Mitigation
• Reproducible Builds: Increasing the Integrity of Software Supply Chains
• sigstore/community: General sigstore community repo
• CycloneDX Use Cases
  • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
• Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
• Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
• The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
• Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
• Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
• Watch: The state of open source security in 2022 with Kurt Seifried
• Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
• EO 14028 and Supply Chain Security
• Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
• Open Source Security Foundation (OpenSSF) Security Mobilization Plan
• Not Just Third Party Risk
• Open Source Security: How Digital Infrastructure Is Built on a House of Cards
• Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
• Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
• Supply Chain Security for Cloud Native Java (from Thomas Vitale)
• Podcast: It Depends with Trail of Bits
• New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
• Software Supply Chain Primer v0.93 (June 2022)