awesome software supply chain security

Uma compilação de recursos no domínio de segurança da cadeia de suprimentos de software, com ênfase no código aberto.

• Awesome-Software-supply-chain-segurança
  • Sobre esta lista
  • Inteligência de dependência
    • SCA e SBOM
    • Troca de informações de vulnerabilidade
  • Valitações no ponto de uso
    • Cadeia de suprimentos além das bibliotecas
  • Identidade, assinatura e proveniência
  • Estruturas e referências de práticas recomendadas
  • Construir técnicas
  • Palestras, artigos, cobertura da mídia e outras leituras
    • Introdução e permanecendo fresco

Não há taxonomia prescrita para esse domínio. Esta lista terá necessariamente alguma sobreposição com disciplinas e categorias como DevSecops, SAST, SCA e muito mais.

O repositório de síntese da cadeia de suprimentos oferece uma leitura longa sobre por que esse é o caso, além de ponteiros úteis para entendê-lo e navegar à medida que evoluem.

Para awesome-software-supply-chain-security adotamos a seguinte abordagem de alto nível: diferentes atores da cadeia de suprimentos contribuem atestados para os elementos representados na cadeia.

Nesta visão centrada no processo, são emitidos atestados, aumentados (por exemplo, durante a composição) e verificados .

Outra maneira de olhar para isso foi descrita aqui por Josh Bressers, e aqui está um exemplo narrativo em The Wild From Spotify

Usando essa lente, podemos identificar um grande grupo de "sujeitos" (dependências), categorias distintas de "fatos" (licenças ou vulnerabilidades) e o papel específico dos sistemas de identidade, proveniência e construção. Esta é a lógica por trás dos títulos atuais, que devem evoluir com o domínio.

Outros exemplos do processo em andamento para definir o domínio incluem o design ruim como um cenário da cadeia de suprimentos · Edição #249 · Slsa-quadrameWork/SLSA e como o SLSA se encaixa na segurança da cadeia de suprimentos mais ampla? · Edição #276 · SLSA-Framework/SLSA. Confira este tweet da Aeva Black com Dan Lorenc para outra visão em uma pinheira de alguns projetos importantes.

Esta seção inclui: Gerenciamento de pacotes, gerenciamento de bibliotecas, gerenciamento de dependência, gerenciamento de dependência de vender, pesquisas por hash, pacotes, nomes de biblioteca e dependência, rotulagem de comportamento da biblioteca, publicação de bibliotecas, registros e repositórios, publicação de portões e digitalizações, ciclo de vida de dependência.

• Insights de código aberto
• GUACSEC/GUAC: O GUAC agrega metadados de segurança de software em um banco de dados de gráficos de alta fidelidade.
• Pacote-URL/Purl-Spec: Uma especificação mínima para Purl, também conhecido como. Um pacote "principalmente universal" URL, junte-se à discussão em https://gitter.im/package-url/lobby
• Serviços on -line que ajudam a entender o que é uma dependência específica, ou pelo menos se é conhecida (geralmente alimentando -o um identificador de pacote, como purl , cpe ou outra forma de ecosystem:name:version ou alternativamente via hash):
  • NSRL: Hashes for Cots Software, bem integrado em ferramentas de Sleuthkit/hfind a nsrllookup
  • Uma fonte que pode ser consultada por meio de uma API pública (HTTP e DNS!) E pode ser mais de código aberto é o Circl Hashlookup
  • A Repologia possui cobertura lendária para pacotes Linux em várias distribuição; Seus atualizadores de repologia e outras peças de infraestrutura são de código aberto. Ele fornece um atualizador para o Wikidata, que também possui propriedades de interesse para o domínio de segurança da cadeia de suprimentos.
  • Metadados de repositórios externos do Debian
  • Bibliotecas de Tidelift.io fornece uma API e suporta mais de 30 ecossistemas de pacotes (e várias ferramentas úteis de código aberto)
  • O agente unificado da WhiteSource também oferece algumas habilidades sofisticadas de correspondência de arquivos
  • O Projeto Heritage de Software possui enormes recursos de ingestão e oferece uma API que pode verificar com eficiência se um hash é conhecido e fornecer certas informações sobre o arquivo, se assim for
    • Veja também o scanner SWH CLI
  • Hashdd - Bons hashes criptográficos conhecidos
  • Claramente Defined fornece informações de licenciamento para componentes de código aberto, dadas suas coordenadas
  • LGTM - Plataforma de análise de código para encontrar e prevenir vulnerabilidades permite pesquisar manualmente por github repo
  • O Diretório de Transparência Binária oferece uma API que permite pesquisar pacotes por hash e outros atributos
    • Uma leitura de alguma forma relacionada é a segunda metade de como o CloudFlare verifica o código Whatsapp Web serve aos usuários
    • E Integridade do Sub -Redimento
    • Não deve ser confundido com a lendária leitura sobre transparência binária
• Para entradas adquiridas por exemplo, via curl :
  • SpectralOps/Pré -voo: O pré -voo ajuda a verificar scripts e executáveis ​​para mitigar a cadeia de ataques de suprimento, como o recente Hack do Codecov.
  • APIARIO/CURL-TRACE-PARSER: Analisador para saída da opção Curl-Trace
    • Atestor de rastreamento de Curl · Edição #139 · Testifysec/testemunha
  • Amigos não deixam os amigos se curvarem | Bash
    • E a embalagem bastante interessante de ativação de Curl | Bash e outras coisas selvagens. por Jordansissel · Pull Solicy #1957 · Jordansissel/FPM
  • Falco
  • Aquasecurity/Tracee: Linux Runtime Security and Forensics usando EBPF
  • GenuineTools/Bane: Gerador de perfil Aparmor personalizado e melhor para contêineres do Docker.
  • Contêineres/OCI-Seccomp-BPF-HOOK: OCI Hook para rastrear syscalls e gerar um perfil do Seccomp
  • Bottlerocket-OS/HotDog: HotDog é um conjunto de ganchos OCI usados ​​para injetar o patch LOG4J HOT em contêineres.
• DeepFence/Ameakapper: Plataforma de observabilidade de segurança nativa de nuvem de código aberto. Linux, K8s, AWS Fargate e muito mais.
• Verifique dependência
• OSSF/Pacote-análise: Análise de pacote de código aberto e alimentação de OSSF/pacotes: Atualizações do gerenciador de pacotes de alimentação para o gerenciador de pacotes de idiomas
  • Relacionado: Introdução Análise de pacotes: Digitando pacotes de código aberto para comportamento malicioso
  • Também a automação de segurança do Argo com o OSS-Fuzz, melhorando a segurança, prejudicando o cenário da CNCF e o Google/OSS-Fuzz: OSS-Fuzz-Fuzzing contínuo para software de código aberto.
  • E clusterfuzzlite
  • Para Node.js: CodeIntelligenceTesting/Jazzer.js: Cobertura Guiada por Cobertura, Fuzzing In-Process para o Node.js
  • Além disso, embora, sem dúvida, mais no campo da observabilidade do aplicativo, Intellabs/Control-Flag: um sistema para sinalizar expressões anômalas de código-fonte, aprendendo expressões típicas a partir de dados de treinamento
• Abhisek/cadeia de suprimentos de segurança: arquitetura de referência e prova de implementação de conceito para gateway de segurança da cadeia de suprimentos
• Cugu/GOCAP: liste seus recursos de dependências e monitore se as atualizações exigirem mais recursos.
• Mate: Análise de programa interativo com gráficos de propriedades de código e veja Galoisinc/Mate: Mate é um conjunto de ferramentas para análise de programas interativos, com foco na caça para bugs no código C e C ++ usando os gráficos de propriedade e os documentos
• Checkmarx/Chainert-Github-Ação: varre pacotes e alertas populares nos casos, há suspeita de uma aquisição de conta
• Projeto Alpha-Amega da Fundação de Segurança de código aberto (OpenSSF)
• Socket - Encontre e compare milhões de pacotes de código aberto, focado em JavaScript
• Difoscope: comparação detalhada de arquivos, arquivos e diretórios
• RedhatProductSecurity/Component-Registry: Registro de componentes (CORGI) agrega dados de componentes nos produtos suportados da Red Hat, serviços gerenciados e serviços internos de pipeline de produtos.
• O OSS Insight, alimentado pela Tidb Cloud, é uma ferramenta de insight que pode ajudá -lo a analisar em profundidade qualquer repositório/desenvolvedores do GitHub único, comparar quaisquer dois repositórios usando as mesmas métricas e fornecer informações abrangentes, valiosas e de tendências.
• Anunciando a versão beta privada da Fossa Risk Intelligence
• De projetos | Fundação de Transparência de Software, ver OSSKB | Inventário de código aberto gratuito
  • E particularmente: scanoss.py/package.md em main · scanoss/scanoss.py
• Artefato Hub, com relatório de segurança de pacotes e também verifica com o COSIGN
• Crt.sh | Pesquisa de certificado
• grep.app | Pesquisa de código
• Pesquisa de código do Github
• SearchCode | mecanismo de pesquisa de código -fonte
• Oriegraff do fonte dograph
• Contribuidores de código aberto a bordo no hub de código aberto, consulte o exemplo do Docker-Slim no código
• Verificador de código da Snyk
• Comece - Fossologia
• CVE-Search/Git-Vuln-Finder: Encontrando vulnerabilidades potenciais de software a partir de mensagens Git Commit
• Chaoss/Augur: Biblioteca Python e Serviço da Web para Métricas de Saúde e Sustentabilidade de Software e Sustentabilidade de código aberto. Você pode encontrar nossa documentação e novas informações de colaborador facilmente aqui: https://chaoss.github.io/augur/ e saber mais sobre a Augur em nosso site https://augulabs.io
• IBM/CBOM: Letra de Materiais de Criptografia
• Appthreat/Blint: Blint é um linhador binário para verificar as propriedades de segurança e os recursos em seus executáveis. É alimentado por Lief.

Leia também:

• Tapituit/Awesome-DevSecOps: Curadoria dos melhores recursos e ferramentas do DevSeCops.
• Leia: Contorno: Um sistema prático para transparência binária
• Vários conceitos interessantes em: Shopify/Prototype: Especialista de Segurança Elicitação de Riscos

Esta seção inclui: scanners e detectores de pacotes/bibliotecas, formatos SBOM, padrões, autoria e validação e alguns aplicativos. Provavelmente incluirá SCA.

A referência mais completa é o Awesomesbom/Awesome-Sbom. Outro repositório útil focado em geradores é o CyBeats/Sbomgen: Lista de ferramentas de geração SBOM.

• Gitbom
  • Além disso: Git-Bom/Bomsh: Bomsh é uma coleção de ferramentas para explorar a ideia Gitbom
  • YONHAN3/GITBOM-REPO: Um repositório de documentos Gitbom para binários Linux
  • Ouça: Gitbom. Não é Git ou SBOM e Gitbom: reaproveitando o gráfico de Git para segurança e transparência da cadeia de suprimentos
  • Veja também Bomsage/Vision.md em Main · DPP/Bomsage, e PKGConf/Main.c em Master · Pkgconf/PKGConf (mais informações neste tópico)
• Nexb/scancode-toolkit: Scancode detecta licenças, direitos autorais, manifestos de pacotes e dependências e muito mais por código de digitalização ... para descobrir e inventário de código aberto e pacotes de terceiros usados ​​no seu código.
• A lista de ferramentas SCA da OWASP é abrangente por conta própria
• Grafeas: uma API de metadados componentes
• Trailofbits/IT-Depende: Uma ferramenta para criar automaticamente um gráfico de dependência e uma lista de materiais de software (SBOM) para pacotes e repositórios arbitrários de código-fonte.
• MEND SCA SBOM, MEND BOLT: Encontre e corrija vulnerabilidades de código aberto e WhiteSource Renovate: Atualizações de dependência automatizadas
  • RenovateBot/Renovate: Ferramenta de atualização de dependência universal que se encaixa nos seus fluxos de trabalho.
    • Leia também casos de uso - renovar documentos
• JFROG XRAY - Análise de componentes universais e digitalização de segurança de contêineres
• DependencyTrack/Dependência-Track: Dependency-Track é uma plataforma inteligente de análise de componentes que permite que as organizações identifiquem e reduzam o risco na cadeia de suprimentos de software.
  • Boa leitura sobre trilha de dependência
• OSS-Review-Toolkit/Ort: um conjunto de ferramentas para ajudar na revisão de dependências de software de código aberto.
• âncora/syft: ferramenta e biblioteca da CLI para gerar uma lista de materiais de software a partir de imagens de contêineres e sistemas de arquivos de soluções de segurança da cadeia de suprimentos de software • Ancorar
  • Observação também: novo comando docker sbom cria SBOMs usando Syft
  • Criando atestados SBOM usando Syft e Sigstore
  • Fluxo simples: UTILS/CI/GITHUB/DOCKER-BUILD-SIGN-SBOM em Main · Marco-Lancini/UTILS
• Anunciar: Scan agora está no modo de manutenção · Edição #352 · ShiftleftSecurity/Sast-scan
• Segurança de contêineres | Qualys, Inc.
• Aqua Cloud Native Security, Security e Segurança Sem Servidor
• Tern-Tools/Tern: TERN é uma ferramenta de análise de composição de software e biblioteca Python que gera uma lista de materiais de software para imagens de contêineres e dockerfiles. O SBOM que o TERN gera fornecerá uma visão de camada por camada do que está dentro do seu contêiner em uma variedade de formatos, incluindo legível por humanos, JSON, HTML, SPDX e muito mais.
• Rea-Produtos/C-Scrm-Use-Case em Master · RJB4Standards/Rea-Products deste tweet
  • Veja também Energy SBOM Prova de conceito - INL
• Phylum Analyze Ação de relações públicas: ação do github para analisar solicitações de puxar para questões da cadeia de suprimentos de código aberto do filo | A empresa de segurança da cadeia de suprimentos de software
• Microsoft/Detecção de Componentes: Varaula seu projeto para determinar quais componentes você usa
• Anão 5 padrão
• Identificação de software (swid) marcação | CSRC e diretrizes para a criação de tags de identificação de software interoperável (SWID)
• Tags concisas de identificação de software
• Hughsie/Python-USWID: uma pequena ferramenta para incorporar tags coswid em binários EFI
  • Veja também Thread
    • E exemplo prático em Coreboot
• Ckotzbauer/Sbom-Operator: Cataloga todas as imagens de um cluster de Kubernetes para vários alvos com SYFT
• Gerenciamento de problemas de segurança em segurança de aplicativos dinatrace
• Defettdojo/Django-DefectDoJo: DefettDojo é uma ferramenta DevSecops e Vulnerability Management.
  • Lista impressionante de integrações com amostras: DefectDojo/Sample-Scan-Files: Amostra Arquivos de varredura para testar as importações
• swingletree-ass/swingletree: integrar e observar os resultados de suas ferramentas de pipeline de CI/CD
• Mercedes -Benz/Sechub: Sechub - Uma maneira central e fácil de usar diferentes ferramentas de segurança com uma API/cliente
• Marcinguty/BetterScan -CE: digitalização de código/Sast/Análise estática/LINHO usando muitas ferramentas/scanners com um relatório (código, IAC) - BetterScan Community Edition (CE)
• BBVA/SUSTO: Orquestração sistemática de testes de segurança universal
• Appthreat/Rosa: um experimento que parece muito promissor até agora.
• Solução SBOM da Fossa
• Rezilhão de sbom dinâmico
• Opensbom-gerador/spdx-sbom-gerador: suporta geração de SBOMs por meio de ferramentas de Golang.
• Ferramentas SBOM de Tauruseer
• Línguas e manifestos suportados pela Soos
• Fortaleza: Letra de Materiais de Software
• JavixEneize/Yasca: Mais uma ferramenta SCA
• CyBeats SBOM Studio
• Edgebitio/EdgeBit-Build: Ação do GitHub para fazer upload de SBOMs para o Edgebit e receber o contexto de vulnerabilidade em suas solicitações de puxar da Edgebit-segurança da cadeia de suprimentos em tempo real, permitindo que as equipes de segurança segmentassem e coordenem a remediação de vulnerabilidades sem trabalho.
• Man (SAG-PM) da Garantia de Garantia de Software da Rea (SAG-PM)
• Microsoft/SBOM-Tool: A ferramenta SBOM é uma ferramenta altamente escalável e precisa para criar SBOMs compatíveis com SPDX 2.2 para qualquer variedade de artefatos
• O SCA da Veracode para automatizar a digitalização de segurança, consulte a demonstração: como gerar uma lista de materiais de software (SBOM) usando a análise de composição de software Veracode
• Enterprise Edition - BLUBRACKET: Segurança de código e detecção secreta
• Análise de composição de software (SCA) | Cyberres
• Inteligência Nexus - Sonatype Data Services
• Appthreat/dep-Scan: Auditoria de segurança totalmente aberta para dependências do projeto com base em vulnerabilidades e conselhos conhecidos. Suporta os repositórios locais e as imagens de contêineres. Integra -se a vários ambientes de IC, como Pipelines do Azure, Circleci, Google CloudBuild. Não é necessário servidor!
• SBS2001/FATBOM: FATBOM (Lei de Materiais FAT) é uma ferramenta que combina o SBOM gerado por várias ferramentas em um SBOM de gordura. Aproveitando assim a força de cada ferramenta.
• Sonatype Bom Doctor
• JHUTCHINGS1/SPDX-TO-DEPENDÊNCIA-GRAFENSA: Uma ação do GitHub que leva o SPDX SBOMS e o carrega para os alertas de envio de dependência do GitHub para alertas de dependência de energia
  • Veja também: EVRYFS/SBOM-DEPENDÊNCIA Submission-Action: Envie Sboms para a API de envio de dependência do Github
  • E os documentos de envio de dependência
• TAP8STRY/ORION: Vá além da descoberta do gerenciador de pacotes para SBOM
• Patriksvensson/Covenant: uma ferramenta para gerar SBOM (Lei de Material de Software) a partir de artefatos de código -fonte.
• CyclonedX/CyclonedX-Webpack-PLUGIN: Crie uma nota de materiais de software CyclonedX (SBOM) a partir de pacotes de webpack no momento da compilação.
• Segurança Avançada/GH-SBOM: Gere Sboms com GH CLI
• Intelynk -Io/SBOMQS: SBOM Quality Score - Métricas de qualidade para seus SBOMs
• eBay/SBOM-Scorecard: Gere uma pontuação para o seu SBOM entender se será realmente útil.

Recursos mais interessantes:

• Podcast de segurança de freio para baixo: 2020-031-Allan Friedman, SBOM, Transparência de Software e Sabe como a salsicha é feita
• Episódio 312: The Legend of the Sbom
• Reimaginar o podcast cibernético: Log4J Vulnerabilidade fornece lições duras em dependências desconhecidas
• Dívida Tech Dívida Burndown Série 1 E11: Allan Friedman e SBOMs
• Sounil Yu em SBOMs, Segurança da cadeia de suprimentos de software - Conversas de segurança
• Explorando a segurança. Criticidade do SBOM. Scott McGregor, segurança em nuvem, Wind River
• Down the Security Rabithole Podcast: DTSR Episódio 487 - Cadeia de suprimentos de software é um BFD
• Podcast de análise de composição de software: cadeia de suprimentos de software - episódio 1
• Atualização crítica: você sabe o que há em seu software?
• Lei de materiais de software | CISA
• Caso de uso do SBOM - RKVST e RKVST SBOM HUB - RKVST
  • Leia também: SBOM Hub - Mappings de atributos da NTIA
• BOF: SBOMS para sistemas incorporados: o que está funcionando, o que não é? - Kate Stewart, Linux Foundation
• Tudo sobre aquele nascido, 'Bout That Bom - Melba Lopez, IBM
• Owasp CyclonedX lança API SBOM Exchange
• Leia: SBOM Management | Seis maneiras pelas quais isso impede a expansão do SBOM
• Leia: os elementos mínimos da NTIA para uma lista de materiais de software
• Leia: O que um SBOM pode fazer por você

Alguns projetos de código aberto estão documentando, em público, como eles adquirem dependências. Esses exemplos intencionais, pares humanos e de forma longa podem ser ilustrativos:

• Enviado/Dependency_Policy.md em Main · EnvoyProxy/Envoy
• O que Curl espera de dependências
• Segurança: o valor das SBOMs do Flux

• OSV
  • Leia: SBOM em ação: Encontrando vulnerabilidades com uma lista de materiais de software
  • Relacionado: SPDX/SPDX para OSV: Produza um arquivo JSON de vulnerabilidade de código aberto com base em informações em um documento SPDX
  • Ferramentas: Google/OSV-Scanner: Scanner de vulnerabilidade escrito em Go, que usa os dados fornecidos por https://osv.dev
• Oleoduto de detecção de vulnerabilidades de Qualys
• Vuls · Scanner de vulnerabilidades sem agente para Linux/FreeBSD
• Banco de dados de vulnerabilidade, uma API também está disponível; Veja Vuldb
• Appthreat/Vulnerability-DB: Banco de dados de vulnerabilidade e pesquisa de pacotes por fontes como OSV, NVD, GitHub e NPM.
• Aquasecurity/Trivy: Scanner para vulnerabilidades em imagens de contêineres, sistemas de arquivos e repositórios Git, bem como para problemas de configuração
• SAST para segurança de código | Código SNYK
  • Veja também: Escolha de bibliotecas de código aberto de Snyk
• Contraste da Comunidade Edição
• Catálogo de vulnerabilidades exploradas conhecidas | CISA
• CVE-Search/CVE-Search: CVE-Search-Uma ferramenta para realizar pesquisas locais por vulnerabilidades conhecidas
• Exein-Io/Kepler: Loja de Lookup Cve baseada em NIST e API alimentada por ferrugem
• Nexb/VulnerableCode: Um trabalho em andamento para um banco de dados de vulnerabilidades gratuitas e abertas e os pacotes que eles impactam. E as ferramentas para agregar e correlacionar essas vulnerabilidades. Patrocinado pela nlnet https://nlnet.nl/project/vulnerabilitydatabase/ para https://www.aboutcode.org/ bate-papo em https://gitter.im/aboutcode-org/vulnerabledode
• Toolswatch/VFEED: A API de Banco de Dados de Vulnerabilidade ao CVE e Ameaças correlacionadas
• OSSF/Scorecard: Scorecards de segurança - Métricas de saúde de segurança para código aberto, Métricas OpenSF e OSSF/Security -Reviews: Uma coleção comunitária de revisões de segurança dos componentes de software de código aberto.
  • OSSF/Scorecard-Ação: Ação Oficial do GitHub para Scorecards OSSF.
    • Nota: Como o Github Action V2 da OpenSSF Scorecard usa o GitHub OIDC com Sigstore
  • Também abre insights de segurança
  • Leia: Como os scorecards do OpenSSF podem ajudar a avaliar os riscos de software de código aberto
  • Ótimo exemplo da vida real: Repositórios do Github da Fundação Eclipse do Eclipse
• Lynis - Ferramenta de Auditoria de Segurança e Hardening para Linux/Unix
• Vítimas/vítimas-CVE-DB: CVE Database Store
• âncora/gripe: um scanner de vulnerabilidades para imagens de contêineres e sistemas de arquivos
  • Veja também o uso do Grype para identificar vulnerabilidades de ação do GitHub
  • E também o Grype agora suporta padrões CyclonedX e SPDX
• Banco de dados consultivo do GitHub agora aberto a contribuições da comunidade
• Grupo de Trabalho do Banco de Segurança Global | CSA, também veja CloudSecurityAlliance/GSD-Database: Banco de Dados de Segurança Global
• Mais truques/cve: Reúna e atualize todos os CVEs disponíveis e mais recentes com seu POC.
• RFC 9116: um formato de arquivo para ajudar na divulgação de vulnerabilidades de segurança
• Um exercício AOSP Vuln-to Commit: Quarkslab/Aosp_dataset: grande conjunto de dados de vulnerabilidade precisa baseado no AOSP CVE
  • Conjunto de conjuntos de dados de vulnerabilidade de nível
• NYPH-Infosec/Daggerboard
• Davideshay/Vulnscan: suíte de scanner de vulnerabilidades com base em Grype e Syft da Anchore
• DevOps-Kung-Fu/Bomber: Scanns SBOMs em busca de vulnerabilidades de segurança
• Fortaleza: Gerenciamento de vulnerabilidades
• Gerenciamento de vulnerabilidades | Adolus
• Secvisograma/Secvisograma: o Secvisograma é uma ferramenta da Web para criar e editar avisos de segurança no formato CSAF 2.0
• Future-Architect/Vuls: Scanner de vulnerabilidades sem agente para Linux, FreeBSD, Container, WordPress, Bibliotecas de Idiomas de Programação, dispositivos de rede
• InfoByte/Faraday: Plataforma de gerenciamento de vulnerabilidade de código aberto da Faraday - Community V4 Lançamento
• Mitre/SAF: A Interface de Linha de Comando de Automação de Segurança do Miter (SAF) (CLI) reúne aplicativos, técnicas, bibliotecas e ferramentas desenvolvidas pela Mitre e pela comunidade de segurança para otimizar a Automação de Segurança para Sistemas e Pipelines DevOps
• DevOps-Kung-Fu/Bomber: Scanns Software Letty (SBOMS) para vulnerabilidades de segurança
• Rezilion/Mi-X: determine se sua computação é verdadeiramente vulnerável a uma vulnerabilidade específica, contabilizando todos os fatores que afetam a exploração real (execução, configuração, permissões, permissões, existência de uma mitigação, sistema operacional, etc.)
• OSSF-CVE-BEnchmark/OSSF-CVE-benchmark: O benchmark OpenSSF CVE consiste em código e metadados para mais de 200 CVEs da vida real, além de ferramentas para analisar as ferramentas de código vulnerável usando uma variedade de ferramentas de teste de segurança de análise estática (SAST) e gerar relatórios para avaliar essas ferramentas.
• Veja o gerenciamento de vulnerabilidades nos documentos de neuvector para exemplos de integração em cenários de contêineres
• NOQCKS/XEOL: um scanner de pacote de fim de vida (EOL) para imagens, sistemas e SBOMs de contêineres
• MCHMARNY/VIMP: Compare dados de vários scanners de vulnerabilidades para obter uma imagem mais completa de possíveis exposições.

Uma seção dedicada sobre Vex diz:

• CyclonedX - Troca de Exploração de Vulnerabilidade (VEX)
  • Exchange de exploração de vulnerabilidade explicada: Como o VEX torna os SBOMs acionáveis
  • Como o VEX ajuda o SBOM+SLSA a melhorar a visibilidade da cadeia de suprimentos | Google Cloud Blog
  • O que é Vex e o que isso tem a ver com Sboms?
  • O que é Vex? É a troca de exploração de vulnerabilidade!
  • O padrão de troca de exploração de vulnerabilidade (VEX)
  • Vex e Sboms
  • VDR ou VEX - qual eu uso? Parte 1
  • VEX! Ou ... como reduzir o ruído do CVE com um truque simples! Por Frederick Kautz
  • Exchange de exploração de vulnerabilidade (VEX) - Justificações de status
• Vex em tempo real

Veja também:

• Vulncode-DB no caminho de depreciação
• Github traz recursos de segurança da cadeia de suprimentos para a comunidade de ferrugem
• Cycognito adota mapeamento ATT & ck para cve para impacto
• Leia: Um olhar mais atento às pontuações do CVSS, Patch Madness: os conselhos de bugs do fornecedor estão quebrados, tão quebrados e uma visão incompleta dos bancos de dados de vulnerabilidades e metodologias de pontuação
• Leia: Como analisar um SBOM e como gerar e hospedar sboms a partir de cloudsmith
• Leia: Após o aviso da equipe de insights de código aberto do Google

Esta seção inclui: políticas de admissão e ingestão, verificação em tempo de tração e verificações do usuário final.

• Kyverno
  • Leia: atestando as varreduras de imagem com Kyverno
    • E: Gerenciando políticas de Kyverno como artefatos de OCI com fontes de ocirepositório
  • Além disso: testifysec/juiz-k8s: prova de conceito Kubernetes Controlador de admissão usando a biblioteca de verificação de atestado de testemunhas
• Ckotzbauer/Sbom-Operator: Cataloga todas as imagens de um cluster de Kubernetes para vários alvos com SYFT
• Connaisseur - Verifique as assinaturas de imagem do contêiner em Kubernetes
• Sigstore/Policy-Controller: O controlador de admissão de políticas usado para aplicar a política em um cluster sobre metadados verificáveis ​​da cadeia de suprimentos da COSIGN.
  • Veja também: Lukehinds/Policy-Controller-Demo: Demo of Keyless Assinating com o Sigstore Kubernetes Policy Controller
• portieris/políticas.MD em Main · Ibm/Portieris
• Reprodutível-containers/repró-get: reproduzível apt/dnf/apk/Pacman, com discriminação de conteúdo
• KPCYRD/PACMAN-BINTRANS: Transparência binária experimental para Pacman com Sigstore e Rekor
  • Veja também: Kpcyrd/apt-swarm :? Rede de fofocas P2P para atualizar transparência, com base no PGP?
• Agente de política aberta
• O CONFTEST permite escrever testes contra dados de configuração estruturados usando o idioma de consulta rego do agente de política aberta: aqui está um exemplo
• Vários ganchos pré-comprometidos permitem verificação de vulnerabilidade logo antes do tempo de ingestão de dependência na base de código
  • Por exemplo, Pyupio/Segurança: Segurança verifica suas dependências instaladas para vulnerabilidades de segurança conhecidas
    • Ou npm-audit
      • Veja também Snyk-Labs/Snync: Mitigate Security Preocupações de Riscos de Segurança da Cadeia de Suprimentos de Confusão de Confusão
      • E Lirantal/LockFile-Lint: fia um NPM ou arquivo de bloqueio de fios para analisar e detectar problemas de segurança
    • Ou requer.io | Monitore suas dependências
    • Ou scanner de segurança de Brakeman
    • Ou Trailofbits/Pip-Audit: Auditoria ambientes python e árvores de dependência para vulnerabilidades conhecidas
      • Veja também: alertas dependsabot agora superam se o seu código estiver chamando de vulnerabilidade
      • E: use dados-dist-info-metadata (PEP 658) para dissociar a resolução do download por Cosmicexplorer · Pull Solicy #11111 · Pypa/pip
    • Projeto interessante relacionado ao Python: Projeto Thoth, usando inteligência artificial para analisar e recomendar pilhas de software para aplicativos Python
    • Ou checkmarx/chiljacking: encontre qual dos seus dependências do GitHub direto do seu Lang é suscetível ao ataque de cadeia
    • Ou veterinário de carga e CREV-DEV/Cargo-Crev: Um sistema de revisão de código verificável criptograficamente para o gerenciador de pacotes de carga (Rust).
    • Validação não automatizada, mas orientação abrangente para Java com alguns pontos críticos relacionados à segurança da cadeia de suprimentos: o Google Best Practices for Java Bibliotecas
• A análise estática é frequentemente usada nesta fase para detectar aquisição de dependência, por exemplo:
  • Sêmep
    • Introdução com a cadeia de suprimentos do SEMGREP
    • Veja também: Captura de vulnerabilidades de segurança com sêmrep
  • Graudit/assinaturas em Master · Wireghoul/Graudit
  • Banyanops/Coletor: Uma estrutura para análise estática de imagens de contêiner do docker
  • Quay/Clair: Análise estática de vulnerabilidade para contêineres
  • Datadog/Guarddog: o Guarddog é uma ferramenta da CLI para identificar pacotes maliciosos de Pypi e NPM
  • Eliasgranderrubio/Dagda: uma ferramenta para realizar análises estáticas de vulnerabilidades conhecidas, troianos, vírus, malware e outras ameaças maliciosas em imagens/contêineres do docker e monitorar o daemon do docker e os recipientes de corrida para detectar atividades anomalosas
    • Meio brilhante, meio engraçado, completo útil: KPCyrd/Libredefender: Imagine a diretriz de conformidade da segurança da informação, diz que você precisa de um antivírus, mas você executa o Arch Linux
  • KICS - Mantendo a infraestrutura como código seguro
  • Tinkerbell/Lint-Install: Instale consistentemente as regras do Linter razoável para projetos de código aberto
  • REGRAS hadolint SOBRE A INSTALAÇÃO DO PACOTO, EG, HADOLINT/README.MD em D16F342C8E70FCFFC7A788D122A1BA602075250D · HADOLINT/HADOLINT
    • Também Dockerfile Resource Scanns-checkov de BridgeCrewio/checkov: impedem as erros de criação de nuvens durante o tempo de construção para Terraform, CloudFormation, Kubernetes, estrutura sem servidor e outras lunguas de infraestrutura como código com checkov por BridGecrew.
    • E: XLAB-SI/IAC-Scan Runner: Serviço que digitaliza sua infraestrutura como código para vulnerabilidades comuns
    • E: aws-amostras/segurança automatizada-helper1
• Avaliação de vulnerabilidade | Portal OpenScap
• Detectando Log4shell com Wazuh
• Aquasecurity/Starboard: Kubernetes Native Security Toolkit
  • Comece a Kubernetes Security and Starboard
• Armosec/Kubescape: Kubescape é uma ferramenta de código aberto K8S que fornece um painel único de vidro K8S de nuvem de várias nuvens, incluindo análise de risco, conformidade de segurança, visualizador de RBAC e varredura de vulnerabilidades de imagem.
  • Além disso: Extensão de código do Visual Studio Kubescape
• Ckotzbauer/Vulnerability-Operator: digitaliza SBOMs para vulnerabilidades
• Chen-Keinan/Kube-Beacon: Scanner de tempo de execução de código aberto para cluster K8S e execute verificações de auditoria de segurança com base na especificação de benchmark cis kubernetes
• Aquasecurity/Kube-banco: verifica se o Kubernetes é implantado de acordo com as melhores práticas de segurança, conforme definido no benchmark cis kubernetes e aquasecurity/kube-hunter: caça a fraquezas de segurança em clusters de kubernetes
• OpenClarity/Kubeclarity: Kubeclarity é uma ferramenta para detecção e gerenciamento da Lei de Materiais de Software (SBOM) e vulnerabilidades de imagens de contêineres e sistemas de arquivos
• Stackrox/Stackrox: A plataforma de segurança Stackrox Kubernetes executa uma análise de risco do ambiente de contêineres, oferece alertas de visibilidade e tempo de execução e fornece recomendações para melhorar proativamente a segurança, endurecendo o ambiente.
• CloudQuery/Plugins/Source/K8s/Políticas em Main · CloudQuery/CloudQuery
• Quarkslab/Kdigger: Kubernetes Avaliação de contêineres focados e ferramenta de descoberta de contexto para teste de penetração
• Ossilate-Inc/PackJ: A ferramenta de verificação por trás de nossa plataforma de análise de segurança em larga escala para detectar pacotes maliciosos/arriscados de código aberto e PackJ | Uma ferramenta de verificação para evitar pacotes "arriscados"
• Doowon/Sigtool: Sigtool para arquivos PE assinados
• Apresentando "npm seguro", um invólucro npm de soquete - soquete
• Apresentando o veterinário Safedep | Safedep

Veja também:

• Análise-Tools-Dev/Análise estática: uma lista com curadoria de ferramentas de análise estática (SAST) para todas as linguagens de programação, arquivos de configuração, ferramentas de construção e muito mais.
• Anderseknert/Awesome-Opa: Uma lista com curadoria de ferramentas, estruturas e artigos relacionados ao OPA
• JUPITERONE/SECOPS-Automation-Exemplos: Exemplos sobre como manter a segurança/conformidade como código e automatizar o SecOps usando a plataforma JupiterOne.
  • Como geramos uma lista de materiais de software (SBOM) com CyclonedX
• Protegendo os pipelines CICD com Stackrox / Rhacs e Sigstore
• Assistir: Você confia no seu gerenciador de pacotes? no Security Fest 2022

E algumas coisas para assistir além das bibliotecas e dependências de software:

• Transparência do sistema | Arquitetura de segurança para servidores sem metal
• Perfis de host emulados no FWUPD
• Gnome para avisar os usuários se segura a inicialização desativada, preparando outra ajuda de segurança de firmware
• Projeto de Auto -Proteção do Kernel - Subsistema de Segurança do Kernel Linux
• Keylime / Keylime: um projeto CNCF para bootstrap e manter confiança na borda / nuvem e IoT
• ParallaxSecond/Parsec: Abstração da plataforma para serviço de segurança
• TPM Carte Blanche Resistente ao Atestado

Esta seção inclui: Projetos e Discussões Especificamente para a identidade do desenvolvedor, OIDC, chaveiros e tópicos relacionados.

• Parte de Sigstore
  • Cosign
  • Fulcio
  • Rekor
  • Veja também: Kubernetes toca Sigstore para frustrar ataques da cadeia de suprimentos de software de código aberto
  • Vista específica de Sigstore da paisagem OpenSSF
• CAS - CAS Serviço de atestado
• Testemunha - Testifysec/Testemunha: Testemunha é uma estrutura conectável para o gerenciamento de riscos da cadeia de suprimentos de software. Ele automatiza, normaliza e verifica a proveniência de artefato de software.
  • ASSISTA: Garantir a cadeia de suprimentos com testemunha - Cole Kennedy, Testifysec
  • Consulte também: Testifysec/Go-ima: Go-ima é uma ferramenta que verifica se um arquivo foi adulterado. É útil para garantir a integridade nos sistemas de IC
• PUERCO/TEJOLOTE: Um executor e observador de construção altamente configuráveis, projetados para gerar atestados de proveniência SLSA assinados sobre corridas de construção.
• MARKETLATE DE GITHUB EM TOTO-RUND E INTOTO/GITHUB:
• Disponibilidade geral do gerador genérico SLSA3 para ações do GitHub
  • Slsa-framework/slsa-github-gerador: geração de proveniência SLSA agnóstica de linguagem para ações do GitHub
  • Veja também: Artigo de atestado | Documentação de Chainloop
• Techosophos/Helm-GPG: assinatura e verificação de gráficos com GNUPG para companheiro.
• CashApp/Pivit é uma ferramenta de linha de comando para gerenciar certificados x509 armazenados em cartões inteligentes com suporte de applet piv que é totalmente compatível com git
• NOTARYPROJETO/NOTÁRIO: O NOTÁRIO É UM PROJETO QUE permite que alguém confie em coleções arbitrárias de dados
  • NOTARYPROJECT/ROADMAP: ROADMAP PARA NOTARYV2
  • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
  • notaryproject/tuf: The Update Framework for OCI Registries
    • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
    • Also see How to easily try out TUF + in-toto
    • Check out Python-TUF reaches version 1.0.0
    • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
    • Read: Secure Software Updates via TUF — Part 2
• deislabs/ratify: Artifact Ratification Framework
• latchset/tang: Tang binding daemon
• ietf-rats - Overview
• An exposed apt signing key and how to improve apt security
• See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
  • Another witness example with GitLab
• Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
• aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
• Read: Monitoring the kernel.org Transparency Log for a year
• Also read: Software Distribution Transparency and Auditability
• paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
  • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
• johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
• oras-project/artifacts-spec
• recipy/recipy: Effortless method to record provenance in Python
• spiffe/spire: The SPIFFE Runtime Environment
• Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
• google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
• Artifactory - Universal Artifact Management
• pyrsia/pyrsia: Decentralized Package Network
• transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
• Watch: Privacy-preserving Approaches to Transparency Logs

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

• in-toto | A framework to secure the integrity of software supply chains
• Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
  • Great read: SLSA | CloudSecDocs
  • Another L50 read: Building trust in our software supply chains with SLSA
  • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
    • Also, a framework mapping put together by Red Hat
  • A Practical Guide to the SLSA Framework by FOSSA
  • Read: Securing Gitpod's Software Supply Chain with SLSA
  • Read: A First Step to Attaining SLSA Level 3 on GitHub
  • And a pattern search across GitHub for inspiration (thanks @infernosec)
• OWASP Application Security Verification Standard, esp. V14 - Configuration
• OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
• CREST launches OWASP Verification Standard (OVS)
• SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
• SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
  • Related: A MAP for Kubernetes supply chain security
• Software Supply Chain Risk Management | BSIMM
• microsoft/scim: Supply Chain Integrity Model
  • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
• Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
  • Also Comply with NIST's secure software supply chain framework with GitLab
• The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
• SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
• npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
• CIS Software Supply Chain Security Guide
• microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
• GitHub's Implementing software security in open source
• Previously referenced: Google Best Practices for Java Libraries
• MITRE's System of Trust
• Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
• OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
• Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

• Zero Trust the Hard Way, Kelsey Hightower
• KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
• Supply Chain Risk Management

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

• Reproducible Builds, particularly the Documentation
  • rb ecosytem mapping
  • Reproducible Builds / reprotest
  • Is NixOS Reproducible?
• Bootstrappable Builds (GNU Mes Reference Manual)
  • Also read Bootstrappable builds from LWN
• tektoncd/chains: Supply Chain Security in Tekton Pipelines
  • Verifiable Supply Chain Metadata for Tekton - CD Foundation
• google/santa: A binary authorization system for macOS
• fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
• kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
  • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
• kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
• tag-security/sscsp.md at main · cncf/tag-security
• defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
• Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
  • Example using SBOM as an input: Inputs - Hoppr
• On instrumenting runners:
  • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
  • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
• reposaur/reposaur: Open source compliance tool for development platforms.
• buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
• chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
  • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
• aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database | Aqua Security
• ossf/allstar: GitHub App to set and enforce security policies
• scribe-public/gitgat: Evaluate source control (GitHub) security posture
• Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
• crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
• wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
• oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
• jart/landlock-make: Sandboxing for GNU Make has never been easier
  • Read: Using Landlock to Sandbox GNU Make
• veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
• Changelog for Pants 2: The ergonomic build system
• Bazel is an open source build and test tool similar to Make, Maven, and Gradle
• GoogleContainerTools/kaniko: Build Container Images In Kubernetes
• sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
• buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
• eellak/build-recorder
  • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

• The reproducible-builds topic on GitHub
• Dependency management as part of Google Cloud's Artifact Registry documentation
• Security hardening for GitHub Actions
  • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
• Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
• Code Sight
• cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
  • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
• Read: What Makes a Build Reproducible, Part 2
• Read: Building a Secure Software Supply Chain with GNU Guix
• alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
• Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
• Read: Reproducible Builds: Break a log, good things come in trees
• Secure Your Software Factory with melange and apko
  • On the apko pattern, see Shopify/hansel
• kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

• A few resources, in addition to this repository, that can help keep up with news and announcements:
  • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
  • tl;dr sec Newsletter
  • Past Issues | CloudSecList
  • News - reproducible-builds.org
  • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
  • A visual reference by Enso Security: AppSec Map
  • A similar one: Jetstack | The Software Supply Chain Toolkit
  • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
  • A toolbox for a secure software supply chain from Chainguard
  • The Technology chapter in Snyk's DevSecOps series
  • A helpful list of acronyms: Acronyms | OpenSCAP portal
  • slsa/terminology.md at main · slsa-framework/slsa
  • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
  • Watch: How to start learning about Supply Chain Security
  • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

• Secure Software Development Fundamentals Courses - Open Source Security Foundation
  • Securing Your Software Supply Chain with Sigstore
• Census II of Free and Open Source Software — Application Libraries
• “Chain”ging the Game - how runtime makes your supply chain even more secure
• How to attack cloud infrastructure via a malicious pull request
• The Challenges of Securing the Open Source Supply Chain
• What is a Software Supply Chain Attestation - and why do I need it?
• Open Policy Agent 2021, Year in Review
• Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
• The state of software bill of materials: SBOM growth could bolster software supply chains
• Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
  • Secure Software Supply Chains
• A few resources to understand supply chain compromises:
  • Supply Chain Compromise - attackics
  • tag-security/supply-chain-security/compromises at main · cncf/tag-security
  • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
  • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
    • Endor Labs' version: Risk Explorer for Software Supply Chains
    • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
  • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
  • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
  • ossf/oss-compromises: Archive of various open source security compromises
  • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
  • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
  • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects. Feedback welcome!
• Improving TOFU (trust on first use) With Transparency
• Reports:
  • 2022 State of Cloud Native Security Report - Palo Alto Networks
  • 2022 Software Supply Chain Security Report • Anchore
• End-to-end demos and examples:
  • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
  • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
• Using SARIF to Extend Analysis of SAST Tools
• GitLab's Software Supply Chain Security section
  • Also read GitLab's Software Supply Chain Security Direction
• GitHub's SARIF support for code scanning
• Driving Developer Productivity via Automated Dependency Tracking
• Code scanning finds more vulnerabilities using machine learning
• Securing Open Source Software at the Source
• Security: The Value of SBOMs
• Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
• SBOMs in the Windows Supply Chain, from the SPDX User Group
• Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
• Binary Authorization for Borg: how Google verifies code provenance and implements code identity
• Application Security Weekly (Video) on Apple Podcasts
• How to prioritize the improvement of open source software security
  • And Strengthening digital infrastructure: A policy agenda for free and open source software
• Software Supply Chain Security Turns to Risk Mitigation
• Reproducible Builds: Increasing the Integrity of Software Supply Chains
• sigstore/community: General sigstore community repo
• CycloneDX Use Cases
  • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
• Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
• Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
• The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
• Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
• Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
• Watch: The state of open source security in 2022 with Kurt Seifried
• Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
• EO 14028 and Supply Chain Security
• Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
• Open Source Security Foundation (OpenSSF) Security Mobilization Plan
• Not Just Third Party Risk
• Open Source Security: How Digital Infrastructure Is Built on a House of Cards
• Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
• Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
• Supply Chain Security for Cloud Native Java (from Thomas Vitale)
• Podcast: It Depends with Trail of Bits
• New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
• Software Supply Chain Primer v0.93 (June 2022)