awesome software supply chain security

Компиляция ресурсов в домене безопасности цепочки поставок программного обеспечения с акцентом на открытый исходный код.

• Потрясающая сфона-поставка-цепочка-безопасность
  • Об этом списке
  • Интеллект зависимости
    • SCA и SBOM
    • Обмен информацией об уязвимости
  • Валидации в пункте использования
    • Цепочка поставок за пределами библиотек
  • Личность, подписание и происхождение
  • Организации и наилучшие практические ссылки
  • Методы сборки
  • Разговоры, статьи, освещение в СМИ и другое чтение
    • Начало работы и оставаться свежим

Для этого домена нет таксономии. Этот список обязательно будет иметь некоторое совпадение с дисциплинами и категориями, такими как Devsecops, SAST, SCA и многое другое.

Репо-репо-синтез поставки предлагает более длинный чтение о том, почему это так, плюс полезные указатели, чтобы понять и ориентироваться в нем по мере его развития.

Для awesome-software-supply-chain-security мы используем следующий подход высокого уровня: разные участники в цепочке поставок вносят аттестации на элементы, представленные в цепочке.

В этом процессе, ориентированном на процесс, аттестации испускаются , дополняются (например, во время состава) и подтверждаются .

Еще один способ взглянуть на это был описан здесь Джошем Брессером, и вот повествовательный пример в дикой природе из Spotify

Используя этот объектив, мы можем идентифицировать большую группу «субъектов» (зависимости), отдельные категории «фактов» (лицензии или уязвимостей) и конкретную роль систем идентичности, происхождения и сборки. Это обоснование нынешних заголовков, которые, как ожидается, будут развиваться с доменом.

Другие примеры непрерывного процесса для определения домена включают в себя добавление плохого дизайна в качестве сценария цепочки поставок · Выпуск № 249 · SLSA-Framework/SLSA и как SLSA вписывается в более широкую безопасность цепочки поставок? · Выпуск № 276 · SLSA-Framework/SLSA. Проверьте этот твит от Aeva Black с Dan Lorenc, чтобы узнать еще один вид на пару ключевых проектов.

Этот раздел включает в себя: Управление пакетами, управление библиотеками, управление зависимостями, управление зависимостями поставщика, поиск по поиску, пакет, библиотечное именование, маркировка поведения библиотеки, публикация библиотеки, реестры и репозитории, публикация ворот и сканирование, жизненный цикл зависимости.

• Открытый источник понимания
• GuacSec/Guac: Guac объединяет метаданные безопасности программного обеспечения в базу данных графиков с высокой точностью.
• Package-url/purl-spec: минимальная спецификация для Purl aka. Пакет «в основном универсальный», присоединяйтесь к дискуссии по адресу https://gitter.im/package-url/lobby
• Онлайн -сервисы, которые помогают понять, что такое конкретная зависимость, или, по крайней мере, известно ли она (обычно кормить ему идентификатор пакета, такой как purl , CPE или другая форма ecosystem:name:version или альтернативно через хэш):
  • NSRL: HASHE FOR COTS Software, хорошо интегрированное в инструментировании от Sleuthkit/Hfind до nsrllookup
  • Источник, который может быть запрошен с помощью публичного API (HTTP и DNS!) И может быть более открытым исходным кодом, это Circl Hashlookup
  • Репонирование имеет легендарное покрытие для пакетов Linux в течение нескольких распределения; Его репутология-UPDATER и другие инфраструктуры являются открытым исходным кодом. Он предоставляет обновляющий для Wikidata, который также обладает доменом безопасности цепочки поставок.
  • Внешние репозитории Debian.
  • Библиотеки Tidelift.IO предоставляет API и поддерживает более 30 экосистем пакетов (и несколько полезных инструментов с открытым исходным кодом)
  • Unified Agent's Whitesource также предлагает несколько сложных способностей соответствия файлов
  • Проект программного наследия обладает огромными возможностями проглатывания и предлагает API, который может эффективно проверить, известен ли хэш, и предоставить определенную информацию в файле, если так
    • Также см. SWH сканер CLI
  • HASHDD - известный хороший криптографический хэши
  • Очевидно, что предоставляет информацию о лицензировании для компонентов с открытым исходным кодом, учитывая их координаты
  • LGTM - Платформа анализа кода для поиска и предотвращения уязвимостей позволяет вручную поиск по GitHub Repo
  • Каталог бинарной прозрачности предлагает API, который позволяет искать пакеты с помощью хэша и других атрибутов
    • Как -то связанное чтение - это вторая половина того, как CloudFlare проверяет код WhatsApp Web обслуживает пользователей
    • И целостность субресса
    • Не путать с легендарным чтением о бинарной прозрачности
• Для получения входов, например, через curl :
  • Spectralops/Preflight: Preflight помогает вам проверить сценарии и исполняемые файлы для смягчения цепочки атак снабжения, таких как недавний взлом Codecov.
  • Apiaryio/Curl-Trace-Parser: анализатор для вывода из опции Curl-trace
    • Аттестор с завитком скручивания
  • Друзья не позволяют друзьям скручиваться | Избиение
    • И довольно интересная включение упаковки Curl | Bash и другие дикие вещи. от Jordansissel · запрос на развлечение #1957 · Jordansissel/FPM
  • Falco
  • Aquasecurity/Trace
  • Gonuinetools/Bane: Custom & Better Apparmor Profile Generator для контейнеров Docker.
  • Контейнеры/OCI-SECCOMP-BPF-Hook: OCI Hook для отслеживания Syscalls и генерации профиля SECComp
  • Bottlerocket-OS/Hotdog: Hotdog-это набор крючков OCI, используемые для впрыскивания горячего патча Log4J в контейнеры.
• DeepFence/WehgeMapper: платформа наблюдения за безопасностью открытого исходного кода. Linux, K8s, AWS Fargate и многое другое.
• Кофе-проверка зависимости
• OSSF/Анализ пакета: анализ пакетов с открытым исходным кодом и Feeds OSSF/Package:
  • СВЯЗАННЫЕ: Представление анализа пакетов: сканирование пакетов с открытым исходным кодом на предмет злонамеренного поведения
  • Также автоматизация безопасности ARGO с OSS-Fuzz, улучшая безопасность, путем размывания ландшафта CNCF и Google/OSS-Fuzz: OSS-Fuzz-непрерывное пузырь для программного обеспечения с открытым исходным кодом.
  • И Clusterfuzzlite
  • Для node.js: CodeIntelligEntestesting/jazzer.js: под руководством покрытия, в процессоре Focess Fuzzing для node.js
  • Кроме того, хотя, возможно, больше в сфере наблюдения применения, интеллект/управляющий флаг: система для помещения выражений аномального исходного кода путем изучения типичных выражений из учебных данных
• Абхисек/Цель-цепь-цепь-безопасность Gateway: справочная архитектура и подтверждение концепции реализации для шлюза безопасности цепочки поставок
• CUGU/GOCAP: Перечислите свои возможности зависимостей и мониционируйте, требуют ли обновлений большие возможности.
• Mate: Интерактивный анализ программы с графиками свойств кода и см. Galoisinc/Mate: Mate - это набор инструментов для интерактивного анализа программы с акцентом на охоту на ошибки в коде C и C ++ с использованием графиков и документов кода и документов
• CheckMarx/ChainAlert-GitHub-Action: сканирует популярные пакеты и оповещения в случаях, что есть подозрение на поглощение учетной записи
• Фонд безопасности с открытым исходным кодом (OpenSSF) Alpha-Omega Project
• Гребень - Найдите и сравните миллионы пакетов с открытым исходным кодом, сосредоточенные на JavaScript
• Диффоскоп: углубленное сравнение файлов, архивов и каталогов
• Redhatproductsecurity/Component-Registry: реестр компонентов (CORGI) агрегирует данные компонентов по поддерживаемым продуктам Red Hat, управляемым услугам и услугам внутренних продуктов.
• OSS Insight, работающий на Tidb Cloud, является инструментом Insight, который может помочь вам подробно проанализировать любой репозиторий/разработчики GitHub, сравнить любые два репозиторию с использованием одних и тех же показателей и предоставлять всеобъемлющие, ценные и тренды с открытым исходным кодом.
• Объявление частной бета -версии с разведкой риска FOSSA
• От проектов | Программное обеспечение прозрачности, см. OSSKB | Бесплатное инвентаризация с открытым исходным кодом
  • И в частности: scanoss.py/package.md в Main · scanoss/scanoss.py
• Artifact Hub, включающий отчет о безопасности пакетов, а также проверяет в Cosign
• Crt.sh | Поиск сертификата
• grep.app | Поиск кода
• Поиск кода GitHub
• SearchCode | Поисковая система исходного кода
• Исходный граф из исходного графа
• Встроенные авторы с открытым исходным кодом в Hub с открытым исходным кодом см. Пример Docker-Slim в CodeSee
• Проверка кода от Snyk
• Начните - Fossology
• cve-search/git-vuln-kinder: поиск потенциальных уязвимостей программного обеспечения из сообщений GIT Commit
• Chaoss/Augur: библиотека и веб -сервис Python для показателей здоровья и устойчивости с открытым исходным кодом. Вы можете легко найти нашу документацию и информацию о новой участнике здесь: https://chaoss.github.io/augur/ и узнать больше о Augur на нашем веб -сайте https://augurlabs.io
• IBM/CBOM: Криптографический счет материалов
• AppThreat/Blint: Blint - это двоичный линтер для проверки свойств безопасности и возможностей в ваших исполняемых файлах. Это приводится в действие Lief.

Также прочитайте:

• Taptuit/Awesome-DevSecops: куратор лучших ресурсов и инструментов Devsecops.
• Читайте: контур: практическая система для бинарной прозрачности
• Несколько интересных концепций в: Shopify/Seer-Prototype: Эксперт по безопасности рискованности

Этот раздел включает в себя: сканеры и детекторы пакетов/библиотеки, форматы SBOM, стандарты, авторизацию и валидацию, а также несколько приложений. Вероятно, будет включать SCA.

Самая полная ссылка-Awesomesbom/Awesome-Sbom. Еще одним полезным репо, фокусирующимся на генераторах является Cybeats/Sbomgen: список инструментов генерации SBOM.

• Гитбом
  • Также: Git-Bom/Bomsh: Бомш-это сбор инструментов для изучения идеи Gitbom
  • yonhan3/gitbom-repo: репозиторий документов Gitbom для двоиков Linux
  • Слушай: Гитбом. Это не git, sbom и gitbom: перепрофилирование графика GIT для безопасности и прозрачности цепочки поставок
  • Также см. Bomsage/Vision.md в Main · DPP/Bomsage, и pkgconf/main.c в Master · PkgConf/PkgConf (больше информации в этой теме)
• NEXB/Scancode-Toolkit: Scancode обнаруживает лицензии, авторские права, манифесты и зависимости пакет и многое другое путем сканирования кода ... для обнаружения и инвентаризации с открытым исходным кодом и сторонних пакетов, используемых в вашем коде.
• Список инструментов SCA от OWASP является всеобъемлющим самостоятельно
• Grafeas: API компонента метаданных
• TrailOfbits/IT-зависимость: инструмент для автоматического создания графа зависимостей и программного обеспечения материалов (SBOM) для пакетов и произвольных хранилищ исходного кода.
• Mend SCA SBOM, MEND BOLT: Найти и исправить уязвимости с открытым исходным кодом и ремонт Whitesource: автоматические обновления зависимостей
  • RENOVATEBOT/RENOVATE: Универсальный инструмент обновления зависимостей, который вписывается в ваши рабочие процессы.
    • Также прочитайте варианты использования - обновлять документы
• JFROG XRAY - Универсальный анализ компонентов и сканирование безопасности контейнеров
• DevingTrack/Track-Track: Dependency-Track-это интеллектуальная платформа для анализа компонентов, которая позволяет организациям идентифицировать и снижать риск в цепочке поставок программного обеспечения.
  • Хорошее чтение на Track-Track
• oss-review-toolkit/ort: набор инструментов, которые помогут в просмотре программных зависимостей с открытым исходным кодом.
• Анкоре/SYFT: инструмент и библиотека CLI для генерации программного обеспечения материалов из изображений контейнеров и файловых систем из решений цепочки программного обеспечения.
  • Также примечание: новая команда docker sbom создает SBOM с использованием SYFT
  • Создание аттестаций SBOM с использованием Syft и Sigstore
  • Простой поток: utils/ci/github/docker-build-sign-sbom в Main · Marco-Lancini/Utils
• Объявление: сканирование сейчас находится в режиме обслуживания · Выпуск № 352 · Shiftleftsecurity/Sast-Scan
• Безопасность контейнера | Qualys, Inc.
• Aqua Cloud Native Security, безопасность контейнеров и безопасность без серверов
• Tern-Tools/Tern: Tern-это инструмент для анализа программного состава и библиотека Python, которая генерирует программный счет материалов для изображений контейнеров и Dockerfiles. SBOM, который генерирует Tern, даст вам слой по сложному взгляду на то, что находится внутри вашего контейнера в различных форматах, включая читаемый на человеке, JSON, HTML, SPDX и многое другое.
• Репродукты реагирования/C-SCRM-USE-Case в Master · RJB4-Standards/React-Products из этого твита
  • Также см. Energy SBOM Proof of Concept - Inl
• Phylum Analyze PR Действие: Действие GitHub для анализа запросов на вытягивание для проблем цепочки поставок с открытым исходным кодом от Phylum | Компания безопасности цепочки поставок программного обеспечения
• Microsoft/Component-Detection: сканирует ваш проект, чтобы определить, какие компоненты вы используете
• Гнома 5 Стандарт
• Идентификация программного обеспечения (SWID) Тегинг | CSRC и руководящие принципы для создания совместимых тегов идентификации программного обеспечения (SWID)
• Краткие теги идентификации программного обеспечения
• Hughsie/Python-USWID: крошечный инструмент для внедрения Coswid Tags в двоичные файлы EFI
  • Также см. Тема
    • И практический пример в Coreboot
• CKOTZBAUER/SBOM-Оператор: каталогизируйте все изображения кластера Kubernetes для нескольких целей с SYFT
• Управление проблемами безопасности в области безопасности приложений Dynatrace
• Defectdojo/django-defectdojo: defectdojo-это инструмент управления Devsecops и уязвимых.
  • Впечатляющий список интеграций с образцами: DefectDojo/Sample-Scan-Files: образцы файлов сканирования для тестирования импорта defectdojo
• Swingletree-OSS/Swingletree: интегрируйте и соблюдайте результаты ваших инструментов трубопровода CI/CD
• Mercedes -Benz/Sechub: Sechub - один центральный и простой способ использования различных инструментов безопасности с одним API/клиентом
• Marcinguy/BetterScan -CE: сканирование кода/SAST/Статическое анализ/склад с использованием многих инструментов/сканеров с одним отчетом (код, IAC) - BetterScan Community Edition (CE)
• BBVA/SUSPO: систематические универсальные оркестровки тестирования безопасности
• AppThreat/Rosa: эксперимент, который пока выглядит очень многообещающе.
• Решение SBOM FOSSA
• Rezillion Dynamic SBOM
• OpenSbom-Generator/SPDX-SBOM-генератор: поддержка CI Generation SBOMS через инструменты GOLANG.
• Инструменты Tauruseer SBOM
• Поддерживаемые языки и манифесты SOOS
• Крепость: счет за программное обеспечение
• javixeneize/yasca: еще один инструмент SCA
• Cybeats SBOM Studio
• EdgeBitio/EdgeBit-Build: GitHub Действие по загрузке SBOMS в EdgeBit и получение контекста уязвимости в ваших запросах на притяжение от EdgeBit-безопасность цепочки поставок в реальном времени, что позволяет командам безопасности нацелиться и координировать исправление уязвимости без труда.
• Реа о обеспечении программного обеспечения Guardian Point Man (SAG-PM)
• Microsoft/SBOM-TOOL: инструмент SBOM-это высоко масштабируемый и предприятие для создания SPDX 2.2, совместимых с SBOM для любого разнообразия артефактов
• SCA Veracode для автоматизации сканирования безопасности, см. Демо: Как генерировать программный счет материалов (SBOM), используя анализ программного обеспечения Veracode.
• Enterprise Edition - Blubracket: безопасность кода и секретное обнаружение
• Анализ программного состава (SCA) | Киберры
• Nexus Intelligence - Служба данных сонатип
• AppThreat/Dep-Scan: Полный аудитор безопасности с открытым исходным кодом для зависимостей проекта на основе известных уязвимостей и рекомендаций. Поддерживает как локальные репо, так и изображения контейнеров. Интегрируется с различными средами CI, такими как Azure Pipelines, Circleci, Google CloudBuild. Не требуется сервер!
• SBS2001/Fatbom: Fatbom (Fat Philt of Materials) - это инструмент, который объединяет SBOM, генерируемый различными инструментами в один жирный SBOM. Таким образом, используя силу каждого инструмента.
• Сонатип Доктор
• Jhutchings1/spdx-topendence-graph-action: действие GitHub, которое принимает SPDX SBOMS и загружает их в API подчинения зависимости GitHub для Power Dependabot
  • Также см.: Evryfs/SBOM-зависимость-субмиссия-действие: отправьте SBOMS в API подчинения зависимости GitHub
  • И документы подчинения зависимости
• TAP8Stry/Orion: выходить за рамки диспетчера пакетов для SBOM
• Patriksvensson/Covenant: инструмент для генерации SBOM (счет материала программного обеспечения) из артефактов исходного кода.
• CYCLONEDX/CYCLONEDX-WEBPACK-PLUGIN: Создайте программное обеспечение CyclonEdx Software Shall of Materials (SBOM) из пакетов WebPack во время компиляции.
• Advanced-Security/GH-SBOM: генерировать SBOMS с GH CLI
• Interlynk -IO/SBOMQS: SBOM Качество оценки - показатели качества для ваших SBOMS
• eBay/SBOM-Scorecard: генерируйте счет для вашего SBOM, чтобы понять, будет ли это действительно полезно.

Более интересные ресурсы:

• Подкаст тормоза вниз по безопасности: 2020-031-Аллана Фридман, SBOM, прозрачность программного обеспечения и знание того, как сделана колбаса
• Эпизод 312: Легенда о SBOM
• Переосмысление кибер -подкаста: уязвимость log4j предоставляет суровые уроки в неизвестных зависимостях
• Технологический задолженность подкаста серии 1 E11: Аллан Фридман и SBOMS
• Sounil Yu на SBOMS, Безопасность цепочки поставок программного обеспечения - разговоры о безопасности
• Изучение безопасности. Критичность SBOM. Скотт МакГрегор, Облачная безопасность, Винд -Ривер
• Вниз по безопасности Rabbithole Podcast: DTSR Эпизод 487 - Цепочка поставок программного обеспечения - это BFD
• Подкаст анализа программного обеспечения: цепочка поставок программного обеспечения - Эпизод 1
• Критическое обновление: вы знаете, что в вашем программном обеспечении?
• Счет материалов программного обеспечения | CISA
• ВЫСОКИТЕЛЬНОСТЬ SBOM - RKVST и RKVST SBOM HUB - RKVST
  • Также читайте: SBOM Hub - NTIA Атрибуты сопоставления атрибутов
• BOF: SBOMS для встроенных систем: что работает, что нет? - Кейт Стюарт, Фонд Linux
• Все об этом бом, «Бой, Бом - Мельба Лопес, IBM
• OWASP Cyclonedx запускает SBOM Exchange API
• Читайте: SBOM Management | Шесть способов предотвратить разрастание SBOM
• Читайте: NTIA - минимальные элементы для счета за программное обеспечение.
• Читайте: что может сделать для вас SBOM

Несколько проектов с открытым исходным кодом документируют, как они приобретают зависимости. Эти преднамеренные, примеры для людей, давно формируются, могут быть иллюстративными:

• Engeoy/gethyserence_policy.md в Main · EnvoyProxy/Envoy
• Что ожидает кудря от зависимостей
• Безопасность: значение SBOMS от потока

• OSV
  • Читайте: SBOM в действии: поиск уязвимостей с помощью программного обеспечения материалов
  • Связанный: SPDX/SPDX-TO-OSV: создать файл JSON с открытым исходным кодом на основе информации в документе SPDX
  • Инструменты: Google/OSV-Scanner: Сканер уязвимости записан в GO, которые используют данные, предоставленные https://osv.dev
• Качественный трубопровод для обнаружения уязвимостей
• VULS · Сканер уязвимости без агента для Linux/FreeBSD
• База данных уязвимости, также доступен API; Смотрите vuldb
• AppThreat/уязвимость-DB: база данных уязвимости и поиск пакетов для таких источников, как OSV, NVD, GitHub и NPM.
• Aquasecurity/Trivy: сканер для уязвимостей на изображениях контейнеров, файловых систем и репозитории GIT, а также для проблем конфигурации
• SAST для безопасности кода | Snyk Code
  • Также см. Выбор библиотек с открытым исходным кодом из Snyk
• Contrast Community Edition
• Известный каталог эксплуатируемых уязвимостей | CISA
• cve-search/cve-search: cve-search-инструмент для выполнения локальных поисков для известных уязвимостей
• Exein-IO/Kepler: NIST на основе CVE Lookup Store и API Powered By Rust
• Nexb/vientableCode: разводная работа в направлении бесплатной и открытой базы данных уязвимостей и пакетов, на которые они влияют. И инструменты для агрегирования и корреляции этих уязвимостей. Спонсируется nlnet https://nlnet.nl/project/vulnerabilitydatabase/ для https://www.aboutcode.org/ Chat на https://giter.im/aboutcode-org/vulneblecode
• ToolSwatch/VFEED: база данных базы данных с уязвимостью и интеллектом для угроз.
• OSSF/ScoreCard: Score ScoreCare -ScoreCards - Метрики здравоохранения безопасности для открытого исходного кода, OpenSSF Metrics и OSSF/Security -Reviews: сообщество коллекции обзоров безопасности компонентов программного обеспечения с открытым исходным кодом.
  • OSSF/Scorecard-Action: официальное действие GitHub для показателей OSSF.
    • Примечание. Как OpenSSF Scorecard Action V2 Action использует GitHub OIDC с Sigstore
  • Также OpenSSF Security Insights Spect
  • Читайте: как OpenSSF ScoreCarears может помочь оценить риски программного обеспечения с открытым исходным кодом
  • Пример великой реальной жизни: состояние репозиториев Foundation Foundation Foundation
• Lynis - Инструмент аудита и укрепления безопасности для Linux/Unix
• Жертвы/жертва-CVE-DB: CVE Database Store
• Анкер/Грип: сканер уязвимости для изображений контейнеров и файловых систем
  • Также см. Использование Grype для определения уязвимостей действий GitHub
  • А также Grype теперь поддерживает стандарты Cyclonex и SPDX
• Консультативная база данных GitHub теперь открыта для вкладов сообщества
• Глобальная база данных безопасности Рабочая группа | CSA, также см. Cloudsecurityalliance/GSD-датабаза: глобальная база данных безопасности
• Хитрой/CVE: Соберите и обновите все доступные и новейшие CVE с их POC.
• RFC 9116: формат файла для помощи в раскрытии уязвимости безопасности
• Упражнение AOSP Vuln-To-Commit: Quarkslab/AOSP_DATASET: большой набор данных о том, что значительно точный уязвимый
  • Набор данных об уязвимости
• NYPH-INFOSEC/Diggerboard
• Davideshay/Vulnscan: Scanner Scanner Suite на основе Grype и Syft из якоря
• Devops-kung-fu/бомбардировщик: сканирование Sboms для уязвимостей безопасности
• Крепость: управление уязвимыми
• Управление уязвимостью | Адолус
• Secvisogram/Secvisogram: Secvisogram - это веб -инструмент для создания и редактирования рекомендаций по безопасности в формате CSAF 2.0
• Future-Architect/Vuls: сканер уязвимости без агента для Linux, FreeBSD, контейнер, WordPress, Languing Languing Libraries, сетевые устройства
• Infobyte/Faraday: Платформа управления уязвимыми уязвимость
• Miter/SAF: интерфейс командной строки (CLI) Miter Security Security Security Security Screencom
• Devops-kung-fu/Bomber: Scans Skans Software of Materials (SBOMS) для уязвимостей безопасности
• Rezilion/Mi-X: Определите, действительно ли ваш вычислитель действительно уязвим к конкретной уязвимости, учитывая все факторы, которые влияют на фактическую эксплуатацию (выполнение времени выполнения, конфигурация, разрешения, существование смягчения, ОС и т. Д.)
• OSSF-CVE-BENCHMARK/OSSF-CVE-BENCHMARK: CVENSF CVE CLEACK состоит из кода и метаданных для более чем 200 реальных CVES, а также инструментов для анализа уязвимых кодовых баз, используя различные статические инструменты тестирования безопасности (SAST), а также создание отчетов для оценки этих инструментов.
• См. Управление уязвимостью в документах Neuvector для примеров интеграции в сценариях контейнеров
• NOQCKS/XEOL: сканер пакета в конце жизни (EOL) для контейнеров, систем и SBOMS
• MCHMARNY/VIMP: Сравните данные из множественных сканеров уязвимости, чтобы получить более полную картину потенциальных воздействий.

Выделенный раздел на Vex читает:

• CYCLONEDX - Обмен эксплуатацией уязвимости (VEX)
  • Обмен эксплуатации уязвимости объяснен: как Vex делает SBOMS действенными
  • Как Vex помогает SBOM+SLSA улучшить видимость цепочки поставок | Google Cloud Blog
  • Что такое Vex и какое это имеет отношение к SBOMS?
  • Что такое Векс? Это обмен эксплуатацией уязвимости!
  • Стандарт обмена уязвимости (VEX)
  • Vex и Sboms
  • VDR или Vex - что я использую? Часть 1
  • Верна! Или ... как уменьшить шум CVE с помощью одного простого трюка! Фредерик Кауц
  • Обмен эксплуатацией уязвимости (VEX) - Оправдание статуса
• В реальном времени Vex

Также см.:

• Vulncode-db на пути снижения
• GitHub привносит функции безопасности цепочки поставок в сообщество Rust
• Cycognito принимает отображение ATT & CK в CVE для воздействия
• Читайте: более пристальный взгляд на оценки CVSS, Patch Madness: Совещания по ошибкам поставщика разбиты, поэтому сломаны и неполный взгляд на базы данных и методологии оценки уязвимостей и методологии оценки
• Читайте: как проанализировать SBOM и как генерировать и размещать Sboms из Cloudsmith
• Читайте: после консультации от команды Google Open Source Insights

Этот раздел включает в себя: политику приема и приема, проверка времени тяги и проверку конечных пользователей.

• Кайверно
  • Читайте: свидетельствует о сканировании изображений с помощью Kyverno
    • И: управление политиками Kyverno в качестве артефактов OCI с источниками OcirePository
  • Также: TestifySec/Dready-K8S: подтверждение концепции COMERNETS CONTROLLER CONTROLLER с использованием библиотеки проверки свидетеля
• CKOTZBAUER/SBOM-Оператор: каталогизируйте все изображения кластера Kubernetes для нескольких целей с SYFT
• Connaisseur - проверить подписи изображения контейнера в Kubernetes
• Sigstore/Controller: контроллер поступления в политику, используемый для обеспечения соблюдения политики в кластере по проверке метаданных цепочек поставок от Cosign.
  • Также см.: Lukehinds/Policy-Controller-Demo: демонстрация подписания без ключа с помощью контроллера политики Sigstore Kubernetes
• Portieris/Policies.md в Main · IBM/Portieris
• Воспроизводимые контейнеры/воспроизводимый: воспроизводимый APT/DNF/APK/PACMAN, с помощью адаптации контента
• KPCYRD/PACMAN-BINTRANS: Экспериментальная бинарная прозрачность для Pacman с Sigstore и Rekor
  • Также см.: Kpcyrd/Apt-Swarm:? P2P -сеть сплетен для прозрачности обновления, на основе PGP?
• Открытый политический агент
• Conftest позволяет записывать тесты на структурированные данные конфигурации, используя открытый агент -агент Rego Rego Language: Вот пример
• Несколько крючков перед коммитацией позволяют проверять уязвимость прямо перед временем приема зависимостей в кодовую базу
  • Например, Pyupio/Safety: безопасность проверяет ваши установленные зависимости на предмет известных уязвимостей безопасности
    • Или NPM-Audit
      • Также см. Snyk-labs/snync: смягчить проблемы безопасности рисков.
      • И Lirantal/Lockfile-Lint: Lint NPM или Lockle Lockile для анализа и обнаружения проблем безопасности
    • Или требуется.io | Следите за своими зависимостями
    • Или сканер безопасности тормоза
    • Или Trailofbits/Pip-Audit: аудиты среды Python и деревья зависимости для известных уязвимостей
      • Также см.: Оповещения Devingabot теперь поверхности, если ваш код вызывает уязвимость
      • И: используйте Data-Dist-Info-MetAdata (PEP 658), чтобы отделить разрешение от загрузки с помощью Cosmicexplorer · Потягивающий запрос #11111 · PYPA/PIP
    • Интересный проект, связанный с Python: Project Thoth, используя искусственный интеллект для анализа и рекомендации программных стеков для приложений Python
    • Или Checkmarx/Chainjacking: обнаружите, какие из ваших зависимостей прямых Github Github подвержены атаке цепного джеки
    • Или грузовой ветеринар и CREV-DEV/Cargo-Crev: криптографически проверяемая система проверки кода для менеджера пакетов Cargo (Rust).
    • Не автоматизированная проверка, но всестороннее руководство для Java с несколькими важными моментами, касающимися безопасности цепочки поставок: лучшие практики Google для библиотек Java
• Статический анализ часто используется на этом этапе, чтобы обнаружить приобретение зависимости, например:
  • Semgrep
    • Начало работы с цепочкой поставок SEMGREP
    • Также см.: Поймать уязвимости безопасности с помощью SEMGREP
  • Graudit/подписи в Master · Wireghoul/Graudit
  • Banyanops/Collector: структура для статического анализа изображений контейнеров Docker
  • Набережная/Клер: Статический анализ уязвимости для контейнеров
  • DataDog/GuardDog: GuardDog - это инструмент CLI для идентификации вредоносных пакетов PYPI и NPM
  • eliasgranderubio/dagda: инструмент для проведения статического анализа известных уязвимостей, троян, вирусов, вредоносных программ и других злонамеренных угроз в изображениях/контейнерах докеров, а также для мониторинга демона докера и работающих докеров для обнаружения аномальной деятельности
    • Половина блестящей, наполовину смешной, полной полезной: Kpcyrd/Libredfender: Представьте себе, что руководство по соблюдению информации о информационной безопасности говорит, что вам нужен антивирус, но вы запускаете Arch Linux
  • KICS - поддержание инфраструктуры в качестве защитной кода
  • Tinkerbell/Lint-Install: постоянно устанавливайте разумные правила Linter для проектов с открытым исходным кодом
  • Правила hadolint по установке упаковки, например, HadoLint/readme.md по адресу d16f342c8e70fcffc7a788d122a1ba602075250d · HadoLint/HadoLint
    • Также сканирование ресурсов Dockerfile-Checkov от Bridgecrewio/checkov: предотвратить ошибочные данные облака во время времени сборки для Terraform, CloudFormation, Kubernetes, без серверов и других инфраструктурных языков как код с Checkov By Bridgecrew.
    • И: XLAB-SI/IAC-Scan Runner: обслуживание, которое сканирует вашу инфраструктуру как код для общих уязвимостей
    • И: AWS-Samples/Automated-Security-Helper1
• Оценка уязвимости | Портал OpenScap
• Обнаружение log4shell с wazuh
• Aquasecurity/Starboard: Kubernetes-Clive Security Toolkit
  • Начните с безопасностью Kubernetes и Starboard
• Armosec/Kubescape: Kubescape-это инструмент с открытым исходным кодом K8S, предоставляющий отдельную панель стекла K8S K8S, включая анализ рисков, соблюдение требований безопасности, визуализатор RBAC и сканирование уязвимостей изображения.
  • Также: расширение кода Visual Studio Kubescape
• Ckotzbauer/уязвимость-оператор: сканирует SBOMS на предмет уязвимостей
• Chen-Keinan/Kube-Beacon: сканер среды выполнения с открытым исходным кодом для кластера K8S и выполнить проверки аудита безопасности на основе спецификации CIS Kubernetes.
• Aquasecurity/Kube-Bench: проверяет, развернут ли Kubernetes в соответствии с лучшими практиками безопасности, как определено в тесте CIS Kubernetes и Aquasecurity/Kube-Hunter: Охота на слабые стороны безопасности в Kubernetes Clusters
• OpenClarity/KubeClarity: Kubeclarity - это инструмент для обнаружения и управления программным обеспечением материалов (SBOM) и уязвимостей контейнеров и файловых систем
• Stackrox/Stackrox: Платформа безопасности Stackrox Kubernetes выполняет анализ рисков контейнерной среды, обеспечивает видимость и предупреждения времени выполнения и предоставляет рекомендации по упрекнутельному повышению безопасности путем укрепления окружающей среды.
• CloudQuery/Plugins/Source/K8S/Политики в Main · CloudQuery/CloudQuery
• Quarkslab/kdigger: Kubernetes Оценка контейнеров и инструмент обнаружения контекста для тестирования на проникновение
• Ossillate-Inc/Packj: инструмент проверки, стоящая за нашей крупномасштабной платформой анализа безопасности, чтобы обнаружить вредоносные/рискованные пакеты с открытым исходным кодом и Packj | Инструмент проверки, чтобы избежать «рискованных» пакетов
• DOWON/SIGTOOL: SIGTOOL для подписанных PE -файлов в GO GO
• Представление «Безопасная NPM», гнезда NPM -обертка - сокет
• Представляем SafeDep Vet | SafeDep

Также см.:

• Анализ-Tools-DEV/статический анализ: кураторный список инструментов статического анализа (SAST) для всех языков программирования, файлов конфигурации, инструментов сборки и многого другого.
• Anderseknert/Awesome-Opa: куратор, связанный с OPA, структуры и статьи
• Jupiterone/Secops-Automation-Exmamps: примеры того, как поддерживать безопасность/соответствие в качестве кода и автоматизировать SECOP с использованием юпитероновой платформы.
  • Как мы генерируем счет материалов (SBOM) с CyclonedX
• Защита трубопроводов CICD с помощью Stackrox / Rhacs и Sigstore
• СМОТРЕТЬ: Вы доверяете своему менеджеру пакетов? в Security Fest 2022

И несколько вещей, которые нужно наблюдать за пределами библиотек и программных зависимостей:

• Системная прозрачность | Архитектура безопасности для серверов с обнаженным металлом
• Эмулированные профили хоста в FWUPD
• GNOME, чтобы предупредить пользователей, если Secure Boot отключена, подготовка другой помощи в области безопасности прошивки
• Проект самоохранительной защиты ядра - подсистема безопасности ядра Linux
• Keylime / KeyLime: проект CNCF для начальной загрузки и поддержания доверия на краю / облаке и IoT
• ParallaxSecond/Parsec: абстракция платформы для службы безопасности
• TPM Carte Blanche-устойчивость

Этот раздел включает в себя: проекты и дискуссионные специфики для идентификации разработчика, OIDC, Keyrings и связанных с ними тем.

• Часть Sigstore
  • Косигнал
  • Фульсио
  • Рекор
  • Также см.: Kubernetes Taps Sigstore, чтобы сорвать атаки цепочки программного обеспечения с открытым исходным кодом
  • Sigstore-специфический вид на пейзаж OpenSSF
• CAS - CAS Attestation Service
• Свидетель - свидетельство/Свидетель: Свидетель - это платная основа для управления рисками цепочки поставок программного обеспечения. Он автоматизирует, нормализует и проверяет провинцию артефакта программного обеспечения.
  • СМОТРЕТЬ: Защита цепочки поставок свидетельством - Коул Кеннеди, Testifysec
  • Также см.: Testifysec/Go-Ima: Go-Ima-это инструмент, который проверяет, был ли файл подделан. Это полезно при обеспечении целостности в системах CI
• Puerco/Tejolote: высоко настраиваемый исполнитель и наблюдатель, разработанный для создания подписанных аттестаций SLSA Provenance о прогонках сборки.
• Внутренний рынок GitHub и вступление в силу/github-action: intoto provenance github Action
• Общая доступность универсального генератора SLSA3 для действий GitHub
  • SLSA-FrameWork/SLSA-GitHub Generator: Языко-агентское генерация провенанса SLSA для действий GitHub
  • Также см.: Аттестация крафта | Цепная документация
• Technosophos/Helm-GPG: подпись и проверка диаграммы с GNUPG для русла.
• CashApp/Pivit - это инструмент командной строки для управления сертификатами x509, хранящиеся на смарт -картах с поддержкой Applet Piv, которая полностью совместима с git
• NotaryProject/Notareary: Нотариус - это проект, который позволяет кому -либо иметь доверие к произвольным коллекциям данных
  • NotaryProject/Roadmap: Roadmap для Notaryv2
  • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
  • notaryproject/tuf: The Update Framework for OCI Registries
    • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
    • Also see How to easily try out TUF + in-toto
    • Check out Python-TUF reaches version 1.0.0
    • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
    • Read: Secure Software Updates via TUF — Part 2
• deislabs/ratify: Artifact Ratification Framework
• latchset/tang: Tang binding daemon
• ietf-rats - Overview
• An exposed apt signing key and how to improve apt security
• See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
  • Another witness example with GitLab
• Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
• aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
• Read: Monitoring the kernel.org Transparency Log for a year
• Also read: Software Distribution Transparency and Auditability
• paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
  • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
• johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
• oras-project/artifacts-spec
• recipy/recipy: Effortless method to record provenance in Python
• spiffe/spire: The SPIFFE Runtime Environment
• Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
• google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
• Artifactory - Universal Artifact Management
• pyrsia/pyrsia: Decentralized Package Network
• transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
• Watch: Privacy-preserving Approaches to Transparency Logs

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

• in-toto | A framework to secure the integrity of software supply chains
• Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
  • Great read: SLSA | CloudSecDocs
  • Another L50 read: Building trust in our software supply chains with SLSA
  • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
    • Also, a framework mapping put together by Red Hat
  • A Practical Guide to the SLSA Framework by FOSSA
  • Read: Securing Gitpod's Software Supply Chain with SLSA
  • Read: A First Step to Attaining SLSA Level 3 on GitHub
  • And a pattern search across GitHub for inspiration (thanks @infernosec)
• OWASP Application Security Verification Standard, esp. V14 - Configuration
• OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
• CREST launches OWASP Verification Standard (OVS)
• SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
• SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
  • Related: A MAP for Kubernetes supply chain security
• Software Supply Chain Risk Management | BSIMM
• microsoft/scim: Supply Chain Integrity Model
  • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
• Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
  • Also Comply with NIST's secure software supply chain framework with GitLab
• The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
• SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
• npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
• CIS Software Supply Chain Security Guide
• microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
• GitHub's Implementing software security in open source
• Previously referenced: Google Best Practices for Java Libraries
• MITRE's System of Trust
• Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
• OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
• Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

• Zero Trust the Hard Way, Kelsey Hightower
• KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
• Supply Chain Risk Management

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

• Reproducible Builds, particularly the Documentation
  • rb ecosytem mapping
  • Reproducible Builds / reprotest
  • Is NixOS Reproducible?
• Bootstrappable Builds (GNU Mes Reference Manual)
  • Also read Bootstrappable builds from LWN
• tektoncd/chains: Supply Chain Security in Tekton Pipelines
  • Verifiable Supply Chain Metadata for Tekton - CD Foundation
• google/santa: A binary authorization system for macOS
• fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
• kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
  • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
• kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
• tag-security/sscsp.md at main · cncf/tag-security
• defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
• Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
  • Example using SBOM as an input: Inputs - Hoppr
• On instrumenting runners:
  • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
  • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
• reposaur/reposaur: Open source compliance tool for development platforms.
• buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
• chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
  • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
• aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database | Aqua Security
• ossf/allstar: GitHub App to set and enforce security policies
• scribe-public/gitgat: Evaluate source control (GitHub) security posture
• Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
• crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
• wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
• oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
• jart/landlock-make: Sandboxing for GNU Make has never been easier
  • Read: Using Landlock to Sandbox GNU Make
• veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
• Changelog for Pants 2: The ergonomic build system
• Bazel is an open source build and test tool similar to Make, Maven, and Gradle
• GoogleContainerTools/kaniko: Build Container Images In Kubernetes
• sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
• buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
• eellak/build-recorder
  • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

• The reproducible-builds topic on GitHub
• Dependency management as part of Google Cloud's Artifact Registry documentation
• Security hardening for GitHub Actions
  • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
• Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
• Code Sight
• cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
  • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
• Read: What Makes a Build Reproducible, Part 2
• Read: Building a Secure Software Supply Chain with GNU Guix
• alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
• Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
• Read: Reproducible Builds: Break a log, good things come in trees
• Secure Your Software Factory with melange and apko
  • On the apko pattern, see Shopify/hansel
• kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

• A few resources, in addition to this repository, that can help keep up with news and announcements:
  • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
  • tl;dr sec Newsletter
  • Past Issues | CloudSecList
  • News - reproducible-builds.org
  • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
  • A visual reference by Enso Security: AppSec Map
  • A similar one: Jetstack | The Software Supply Chain Toolkit
  • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
  • A toolbox for a secure software supply chain from Chainguard
  • The Technology chapter in Snyk's DevSecOps series
  • A helpful list of acronyms: Acronyms | OpenSCAP portal
  • slsa/terminology.md at main · slsa-framework/slsa
  • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
  • Watch: How to start learning about Supply Chain Security
  • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

• Secure Software Development Fundamentals Courses - Open Source Security Foundation
  • Securing Your Software Supply Chain with Sigstore
• Census II of Free and Open Source Software — Application Libraries
• “Chain”ging the Game - how runtime makes your supply chain even more secure
• How to attack cloud infrastructure via a malicious pull request
• The Challenges of Securing the Open Source Supply Chain
• What is a Software Supply Chain Attestation - and why do I need it?
• Open Policy Agent 2021, Year in Review
• Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
• The state of software bill of materials: SBOM growth could bolster software supply chains
• Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
  • Secure Software Supply Chains
• A few resources to understand supply chain compromises:
  • Supply Chain Compromise - attackics
  • tag-security/supply-chain-security/compromises at main · cncf/tag-security
  • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
  • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
    • Endor Labs' version: Risk Explorer for Software Supply Chains
    • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
  • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
  • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
  • ossf/oss-compromises: Archive of various open source security compromises
  • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
  • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
  • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects. Добро пожаловать!
• Improving TOFU (trust on first use) With Transparency
• Reports:
  • 2022 State of Cloud Native Security Report - Palo Alto Networks
  • 2022 Software Supply Chain Security Report • Anchore
• End-to-end demos and examples:
  • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
  • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
• Using SARIF to Extend Analysis of SAST Tools
• GitLab's Software Supply Chain Security section
  • Also read GitLab's Software Supply Chain Security Direction
• GitHub's SARIF support for code scanning
• Driving Developer Productivity via Automated Dependency Tracking
• Code scanning finds more vulnerabilities using machine learning
• Securing Open Source Software at the Source
• Security: The Value of SBOMs
• Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
• SBOMs in the Windows Supply Chain, from the SPDX User Group
• Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
• Binary Authorization for Borg: how Google verifies code provenance and implements code identity
• Application Security Weekly (Video) on Apple Podcasts
• How to prioritize the improvement of open source software security
  • And Strengthening digital infrastructure: A policy agenda for free and open source software
• Software Supply Chain Security Turns to Risk Mitigation
• Reproducible Builds: Increasing the Integrity of Software Supply Chains
• sigstore/community: General sigstore community repo
• CycloneDX Use Cases
  • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
• Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
• Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
• The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
• Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
• Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
• Watch: The state of open source security in 2022 with Kurt Seifried
• Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
• EO 14028 and Supply Chain Security
• Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
• Open Source Security Foundation (OpenSSF) Security Mobilization Plan
• Not Just Third Party Risk
• Open Source Security: How Digital Infrastructure Is Built on a House of Cards
• Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
• Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
• Supply Chain Security for Cloud Native Java (from Thomas Vitale)
• Podcast: It Depends with Trail of Bits
• New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
• Software Supply Chain Primer v0.93 (June 2022)