หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

ซอฟต์แวร์ที่ยอดเยี่ยม-ซัพพลายเชน-ความปลอดภัย

การรวบรวมทรัพยากรในโดเมนความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์โดยเน้นไปที่โอเพ่นซอร์ส

  • ซอฟต์แวร์ที่ยอดเยี่ยม-ซัพพลายเชน-ความปลอดภัย
    • เกี่ยวกับรายการนี้
    • ข่าวกรองการพึ่งพาอาศัยกัน
      • SCA และ SBOM
      • การแลกเปลี่ยนข้อมูลช่องโหว่
    • การตรวจสอบจุดใช้งาน
      • ซัพพลายเชนนอกเหนือจากห้องสมุด
    • เอกลักษณ์การลงนามและที่มา
    • เฟรมเวิร์กและการอ้างอิงแนวปฏิบัติที่ดีที่สุด
    • สร้างเทคนิค
    • พูดคุยบทความการรายงานข่าวสื่อและการอ่านอื่น ๆ
      • เริ่มต้นใช้งานและอยู่สดใหม่

เกี่ยวกับรายการนี้

ไม่มีอนุกรมวิธานที่กำหนดไว้สำหรับโดเมนนี้ รายการนี้จะต้องมีการทับซ้อนกับสาขาวิชาและหมวดหมู่เช่น devsecops, Sast, SCA และอีกมากมาย

repo การสังเคราะห์ซัพพลายเชนนำเสนอการอ่านแบบยาวว่าทำไมถึงเป็นเช่นนั้นรวมถึงพอยน์เตอร์ที่มีประโยชน์เพื่อทำความเข้าใจและนำทางในขณะที่มันวิวัฒนาการ

สำหรับ awesome-software-supply-chain-security โซ่อุปทานมีส่วนร่วมใน การยืนยัน องค์ประกอบที่แสดงในห่วงโซ่

ในมุมมองกระบวนการนี้เป็นศูนย์กลางการยืนยันจะ ถูกปล่อยออก มาเพิ่ม (เช่นในระหว่างการจัดองค์ประกอบ) และ ตรวจสอบแล้ว

อีกวิธีหนึ่งในการดูสิ่งนี้ได้อธิบายไว้ที่นี่โดย Josh Bressers และนี่คือตัวอย่างการเล่าเรื่องในป่าจาก Spotify

การใช้เลนส์นี้เราสามารถระบุกลุ่ม "วิชา" ขนาดใหญ่ (การพึ่งพา) หมวดหมู่ที่แตกต่างของ "ข้อเท็จจริง" (ใบอนุญาตหรือช่องโหว่) และบทบาทเฉพาะของตัวตนที่มาและระบบสร้าง นี่คือเหตุผลที่อยู่เบื้องหลังหัวข้อปัจจุบันซึ่งคาดว่าจะพัฒนากับโดเมน

ตัวอย่างอื่น ๆ ของกระบวนการต่อเนื่องเพื่อกำหนดโดเมนรวมถึงการเพิ่มการออกแบบที่ไม่ดีเป็นสถานการณ์ห่วงโซ่อุปทาน·ปัญหา #249 · SLSA-Framework/SLSA และ SLSA เหมาะสมกับความปลอดภัยของห่วงโซ่อุปทานที่กว้างขึ้นอย่างไร ·ออก #276 · SLSA-Framework/SLSA ลองดูทวีตนี้จาก Aeva Black กับ Dan Lorenc เพื่อดูมุมมองในอีกหนึ่งในโครงการสำคัญสองสามโครงการ

ข่าวกรองการพึ่งพาอาศัยกัน

ส่วนนี้รวมถึง: การจัดการแพ็คเกจ, การจัดการห้องสมุด, การจัดการการพึ่งพา, การจัดการการพึ่งพาผู้เข้าชม, การค้นหาโดยแฮช, แพ็คเกจ, ห้องสมุดและการตั้งชื่อการพึ่งพา, การติดฉลากพฤติกรรมห้องสมุด, การเผยแพร่ห้องสมุด, การลงทะเบียนและที่เก็บ, ประตูการเผยแพร่และการสแกน, วงจรการพึ่งพาอาศัย

  • ข้อมูลเชิงลึกของโอเพ่นซอร์ส
  • GUACSEC/GUAC: GUAC รวมข้อมูลเมตาของซอฟต์แวร์ความปลอดภัยของซอฟต์แวร์ลงในฐานข้อมูลกราฟความเที่ยงตรงสูง
  • Package-URL/PURL-SPEC: ข้อมูลจำเพาะน้อยที่สุดสำหรับ PURL AKA แพ็คเกจ "ส่วนใหญ่เป็นสากล" url เข้าร่วมการสนทนาที่ https://gitter.im/package-url/lobby
  • บริการออนไลน์ที่ช่วยให้เข้าใจว่าการพึ่งพาเฉพาะ คือ อะไรหรืออย่างน้อยก็ purl ว่าจะเป็น ecosystem:name:version รู้จัก
    • NSRL: ซอฟต์แวร์แฮชสำหรับ COT
    • แหล่งที่มาที่สามารถสอบถามได้ผ่าน API สาธารณะ (HTTP และ DNS!) และสามารถเป็นโอเพนซอร์สที่รับรู้ได้มากขึ้นคือ Circl Hashlookup
    • Repology มีความครอบคลุมในตำนานสำหรับแพ็คเกจ Linux ในการแจกแจงหลายครั้ง repology updater และชิ้นส่วนโครงสร้างพื้นฐานอื่น ๆ เป็นโอเพนซอร์ส มันมีตัวอัปเดตสำหรับ wikidata ซึ่งมีคุณสมบัติที่น่าสนใจสำหรับโดเมนความปลอดภัยของห่วงโซ่อุปทาน
    • ข้อมูลเมตาที่เก็บข้อมูลภายนอกของ Debian
    • Libraries ของ TideLift ให้บริการ API และรองรับระบบนิเวศแพ็คเกจมากกว่า 30 ระบบ (และเครื่องมือโอเพ่นซอร์สที่มีประโยชน์หลายอย่าง)
    • ตัวแทน Unified ของ Whitesource ยังมีความสามารถในการจับคู่ไฟล์ที่ซับซ้อน
    • โครงการ Software Heritage มีความสามารถในการบริโภคครั้งใหญ่และเสนอ API ซึ่งสามารถตรวจสอบได้อย่างมีประสิทธิภาพว่าเป็นที่รู้จักกันดีและให้ข้อมูลบางอย่างเกี่ยวกับไฟล์หากเป็นเช่นนั้น
      • ดู SWH Scanner CLI
    • hashdd - แฮชเข้ารหัสที่รู้จักกันดี
    • กำหนดไว้อย่างชัดเจนให้ข้อมูลการออกใบอนุญาตสำหรับส่วนประกอบโอเพ่นซอร์สตามพิกัดของพวกเขา
    • LGTM - แพลตฟอร์มการวิเคราะห์รหัสเพื่อค้นหาและป้องกันช่องโหว่ช่วยให้การค้นหาด้วยตนเองโดย GitHub repo
    • ไดเรกทอรีความโปร่งใสไบนารีเสนอ API ที่อนุญาตให้ค้นหาแพ็คเกจการค้นหาโดยแฮชและแอตทริบิวต์อื่น ๆ
      • การอ่านที่เกี่ยวข้องอย่างใดเป็นช่วงครึ่งหลังของวิธีที่ CloudFlare ตรวจสอบรหัส WhatsApp Web ให้บริการแก่ผู้ใช้
      • และความสมบูรณ์ของแหล่งย่อย
      • เพื่อไม่ให้สับสนกับการอ่านในตำนานเกี่ยวกับความโปร่งใสไบนารี
  • สำหรับอินพุตที่ได้รับเช่นผ่าน curl :
    • Spectralops/preflight: preflight ช่วยให้คุณตรวจสอบสคริปต์และปฏิบัติการเพื่อลดห่วงโซ่ของการโจมตีซัพพลายเช่นแฮ็ค Codecov ล่าสุด
    • apiaryio/curl-trace-parser: ตัวแยกวิเคราะห์สำหรับเอาต์พุตจากตัวเลือก Curl-Trace
      • Curl Trace Attestor ·ออก #139 · TeriifySec/พยาน
    • เพื่อนอย่าปล่อยให้เพื่อนขด ทุบตี
      • และการเปิดใช้งานบรรจุภัณฑ์ของ Curl | Bash และสิ่งป่าอื่น ๆ ที่น่าสนใจ โดย Jordansissel · Pull Request #1957 · Jordansissel/FPM
    • ฟัลโก
    • Aquasecurity/Tracee: Linux Runtime Security และ Forensics โดยใช้ EBPF
    • Genuinetools/Bane: ตัวสร้างโปรไฟล์ Apparmor ที่กำหนดเองและดีกว่าสำหรับคอนเทนเนอร์ Docker
    • คอนเทนเนอร์/OCI-SECCOMP-BPF-HOOK: OCI HOOK เพื่อติดตาม SYSCALLS และสร้างโปรไฟล์ SECCOMP
    • Bottlerocket-OS/Hotdog: Hotdog เป็นชุดของ Hooks OCI ที่ใช้ในการฉีดแพทช์ร้อน log4j ลงในภาชนะ
  • Deepfence/Tarmamapper: แพลตฟอร์มการสังเกตความปลอดภัยของคลาวด์โอเพนซอร์ส Linux, K8s, Aws Fargate และอีกมากมาย
  • การตรวจสอบการพึ่งพา
  • OSSF/Package-Analysis: การวิเคราะห์แพ็คเกจโอเพ่น
    • ที่เกี่ยวข้อง: แนะนำการวิเคราะห์แพ็คเกจ: การสแกนแพ็คเกจโอเพนซอร์สสำหรับพฤติกรรมที่เป็นอันตราย
    • นอกจากนี้การรักษาความปลอดภัยของ Argo Security Automation ด้วย Oss-Fuzz ปรับปรุงความปลอดภัยโดยการฟัซซิงกับภูมิทัศน์ CNCF และ Google/OSS-FUZZ: OSS-FUZZ-ฟัซซัสอย่างต่อเนื่องสำหรับซอฟต์แวร์โอเพ่นซอร์ส
    • และ Clusterfuzzlite
    • สำหรับ node.js: codeintelligencetesting/jazzer.js: ความครอบคลุม-นำทาง, การฟัซซัสในกระบวนการสำหรับ node.js
    • นอกจากนี้แม้ว่าจะมีเนื้อหามากกว่าในขอบเขตของการสังเกตแอปพลิเคชัน, IntellAbs/control-flag: ระบบที่จะตั้งค่าสถานะการแสดงออกของซอร์สโค้ดที่ผิดปกติโดยการเรียนรู้การแสดงออกทั่วไปจากข้อมูลการฝึกอบรม
  • Abhisek/Supply-Chain-Security-Gateway: สถาปัตยกรรมอ้างอิงและหลักฐานการใช้แนวคิดสำหรับเกตเวย์ความปลอดภัยห่วงโซ่อุปทานอุปทาน
  • CUGU/GOCAP: แสดงความสามารถในการพึ่งพาและตรวจสอบหากการอัปเดตต้องการความสามารถมากขึ้น
  • Mate: การวิเคราะห์โปรแกรมแบบอินเทอร์แอคทีฟพร้อมกราฟคุณสมบัติรหัสและดู Galoisinc/Mate: Mate เป็นชุดเครื่องมือสำหรับการวิเคราะห์โปรแกรมแบบโต้ตอบโดยมุ่งเน้นที่การล่าแมลงในรหัส C และ C ++ โดยใช้กราฟคุณสมบัติรหัสและเอกสาร
  • CheckMarx/Chainalert-Github-Action: สแกนแพ็คเกจและการแจ้งเตือนยอดนิยมในกรณีที่มีความสงสัยในการครอบครองบัญชี
  • Foundation Open Security Security Foundation (OpenSSF) โครงการอัลฟ่า-โอเมก้า
  • ซ็อกเก็ต - ค้นหาและเปรียบเทียบแพ็คเกจโอเพนซอร์สหลายล้านรายการโดยมุ่งเน้นไปที่ JavaScript
  • Diffoscope: การเปรียบเทียบไฟล์ที่เก็บถาวรและไดเรกทอรีในเชิงลึก
  • Redhatproductsecurity/ส่วนประกอบ-อนุรักษ์: คอมโพเนนต์รีจิสทรี (Corgi) รวมข้อมูลส่วนประกอบผ่านผลิตภัณฑ์ที่รองรับของ Red Hat บริการที่มีการจัดการและบริการท่อส่งสินค้าภายใน
  • OSS Insight ซึ่งขับเคลื่อนโดย TIDB Cloud เป็นเครื่องมือเชิงลึกที่สามารถช่วยคุณวิเคราะห์ในเชิงลึกใด ๆ ที่เก็บ/นักพัฒนา GitHub เดียวเปรียบเทียบที่เก็บสองแห่งใด ๆ โดยใช้ตัวชี้วัดเดียวกันและให้ข้อมูลเชิงลึกโอเพ่นซอร์สที่ครอบคลุมมีค่า
  • ประกาศเบต้าเอกชนของข่าวกรองความเสี่ยงฟอสล่า
  • จากโครงการ มูลนิธิความโปร่งใสซอฟต์แวร์ดู OSSKB | สินค้าโอเพ่นซอร์สฟรี
    • และโดยเฉพาะอย่างยิ่ง: scanoss.py/package.md ที่หลัก· scanoss/scanoss.py
  • ARTIFACT HUB มีรายงานความปลอดภัยแพ็คเกจและตรวจสอบด้วย COSIGN
  • crt.sh | การค้นหาใบรับรอง
  • grep.app | การค้นหารหัส
  • การค้นหารหัส GitHub
  • SearchCode | เครื่องมือค้นหาซอร์สโค้ดซอร์สโค้ด
  • SourceGraph จาก SourceGraph
  • ผู้สนับสนุนโอเพนซอร์สออนบอร์ดบนศูนย์กลางโอเพนซอร์สดูตัวอย่าง Docker-Slim ในรหัส
  • Code Checker จาก Snyk
  • เริ่มต้น - fossology
  • CVE-Search/Git-Vuln-Finder: การค้นหาช่องโหว่ซอฟต์แวร์ที่มีศักยภาพ
  • Chaoss/Augur: Python Library และ Web Service สำหรับซอฟต์แวร์โอเพ่นซอร์สและการรวบรวมข้อมูลความยั่งยืนและการรวบรวมข้อมูล คุณสามารถค้นหาเอกสารและข้อมูลผู้สนับสนุนใหม่ได้อย่างง่ายดายที่นี่: https://chaoss.github.io/augur/ และเรียนรู้เพิ่มเติมเกี่ยวกับ Augur ที่เว็บไซต์ของเรา https://augurlabs.io
  • IBM/CBOM: Bill of Materials
  • AppTherat/Blint: Blint เป็น binary linter เพื่อตรวจสอบคุณสมบัติความปลอดภัยและความสามารถในการดำเนินการของคุณ มันขับเคลื่อนโดย Lief

อ่านด้วย:

  • Taptuit/Awesome-devsecops: ดูแลทรัพยากรและเครื่องมือ devsecops ที่ดีที่สุด
  • อ่าน: Contour: ระบบปฏิบัติเพื่อความโปร่งใสแบบไบนารี
  • แนวคิดที่น่าสนใจหลายประการใน: Shopify/Seer-Prototype: ผู้เชี่ยวชาญด้านความปลอดภัย

SCA และ SBOM

ส่วนนี้รวมถึง: สแกนเนอร์แพคเกจ/ห้องสมุดและเครื่องตรวจจับรูปแบบ SBOM มาตรฐานการเขียนและการตรวจสอบและแอปพลิเคชันบางอย่าง จะรวมถึง SCA

การอ้างอิงที่สมบูรณ์ที่สุดคือ AwesomesBom/Awesome-SBOM repo ที่เป็นประโยชน์อีกอย่างที่มุ่งเน้นไปที่เครื่องกำเนิดไฟฟ้าคือ CyBeats/Sbomgen: รายการเครื่องมือสร้าง SBOM

  • กิตติบอม
    • นอกจากนี้: Git-Bom/Bomsh: Bomsh เป็นชุดของเครื่องมือในการสำรวจแนวคิด Gitbom
    • Yonhan3/Gitbom-Repo: ที่เก็บเอกสารของเอกสาร Gitbom สำหรับไบนารี Linux
    • ฟัง: Gitbom ไม่ใช่ Git หรือ SBOM และ Gitbom: เปลี่ยนกราฟของ Git เพื่อความปลอดภัยของห่วงโซ่อุปทานและความโปร่งใส
    • ดู Bomsage/Vision.md ที่ Main · DPP/Bomsage และ PKGCONF/Main.C ที่ Master · PKGCONF/PKGCONF (ข้อมูลเพิ่มเติมในหัวข้อนี้)
  • NEXB/SCANCODE-TOOLKIT: SCANCODE ตรวจจับใบอนุญาตลิขสิทธิ์แพคเกจการปรากฏตัวและการพึ่งพาและอื่น ๆ โดยรหัสสแกน ... เพื่อค้นหาและโอเพ่นซอร์สสินค้าคงคลังและแพ็คเกจบุคคลที่สามที่ใช้ในรหัสของคุณ
  • รายการเครื่องมือ SCA ของ OWASP ครอบคลุมด้วยตนเอง
  • Grafeas: API ข้อมูลเมตาส่วนประกอบ
  • Trailofbits/It-depends: เครื่องมือในการสร้างกราฟการพึ่งพาและซอฟต์แวร์ Bill of Materials (SBOM) โดยอัตโนมัติสำหรับแพ็คเกจและที่เก็บรหัสแหล่งที่มาโดยพลการ
  • MEND SCA SBOM, MEND BOLT: ค้นหาและแก้ไขช่องโหว่โอเพ่นซอร์สและการปรับปรุง Whitesource: การอัปเดตการพึ่งพาอัตโนมัติ
    • RENOVATEBOT/RENOVATE: เครื่องมืออัปเดตการพึ่งพาสากลที่เหมาะกับเวิร์กโฟลว์ของคุณ
      • ยังอ่านกรณีการใช้งาน - ปรับปรุงเอกสาร
  • JFROG XRAY - การวิเคราะห์องค์ประกอบสากลและการสแกนความปลอดภัยของคอนเทนเนอร์
  • การพึ่งพา/การติดตามการติดตาม: การติดตามการติดตามเป็นแพลตฟอร์มการวิเคราะห์ส่วนประกอบอัจฉริยะที่ช่วยให้องค์กรสามารถระบุและลดความเสี่ยงในห่วงโซ่อุปทานซอฟต์แวร์
    • อ่านได้ดีเกี่ยวกับการติดตามการติดตาม
  • OSS-REVIEW-TOOLKIT/ORT: ชุดเครื่องมือเพื่อช่วยในการตรวจสอบการพึ่งพาซอฟต์แวร์โอเพ่นซอร์ส
  • Anchore/Syft: เครื่องมือ CLI และไลบรารีสำหรับการสร้างใบเรียกเก็บเงินซอฟต์แวร์จากภาพคอนเทนเนอร์และระบบไฟล์จากโซลูชั่นความปลอดภัยของโซลูชันซอฟต์แวร์ซัพพลายเชน• Anchore
    • หมายเหตุ: คำสั่ง docker sbom ใหม่สร้าง SBOM โดยใช้ SYFT
    • การสร้างการยืนยัน SBOM โดยใช้ Syft และ Sigstore
    • Simple Flow: utils/ci/github/docker-build-sign-sbom ที่ Main · Marco-Lancini/Utils
  • ประกาศ: การสแกนอยู่ในโหมดการบำรุงรักษา·ปัญหา #352 · ShiftleftSecurity/Sast-Scan
  • ความปลอดภัยของคอนเทนเนอร์ Qualys, Inc.
  • Aqua Cloud Native Security, Container Security & Serverless Security
  • TERN-TOOLS/TERN: TERN เป็นเครื่องมือวิเคราะห์องค์ประกอบซอฟต์แวร์และไลบรารี Python ที่สร้างใบเรียกเก็บเงินซอฟต์แวร์ของวัสดุสำหรับภาพคอนเทนเนอร์และ Dockerfiles SBOM ที่ Tern สร้างจะให้มุมมองแบบเลเยอร์โดยเลเยอร์ของสิ่งที่อยู่ภายในภาชนะของคุณในรูปแบบที่หลากหลายรวมถึงมนุษย์ที่อ่านได้, JSON, HTML, SPDX และอีกมากมาย
  • REA-Products/C-SCRM-use-use-case ที่ Master · RJB4Standards/Rea-Products จากทวีตนี้
    • ดูการพิสูจน์พลังงาน SBOM ของแนวคิด - INL
  • ไฟลัมวิเคราะห์การดำเนินการประชาสัมพันธ์: การกระทำของ GitHub เพื่อวิเคราะห์คำขอดึงสำหรับปัญหาซัพพลายซัพพลายโอเพ่นซอร์สจากไฟลัม | บริษัท ความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์
  • การตรวจจับ Microsoft/Component: สแกนโครงการของคุณเพื่อกำหนดส่วนประกอบที่คุณใช้
  • แคระ 5 มาตรฐาน
  • การระบุซอฟต์แวร์ (SWID) การติดแท็ก | CSRC และแนวทางสำหรับการสร้างแท็ก Software Identification (SWID)
  • แท็กการระบุซอฟต์แวร์รัดกุม
  • Hughsie/Python-Uswid: เครื่องมือเล็ก ๆ สำหรับการฝังแท็ก Coswid ใน Binaries EFI
    • ดูด้าย
      • และตัวอย่างที่ใช้งานได้จริงใน CoreBoot
  • Ckotzbauer/SBOM-Operator: แคตตาล็อกภาพทั้งหมดของคลัสเตอร์ Kubernetes ไปยังหลายเป้าหมายด้วย Syft
  • การจัดการปัญหาความปลอดภัยในการรักษาความปลอดภัยแอปพลิเคชัน Dynatrace
  • defectdojo/django-defectdojo: DefectDojo เป็นเครื่องมือจัดการและช่องโหว่
    • รายการที่น่าประทับใจของการรวมเข้ากับตัวอย่าง: defectdojo/sample-scan-files: ตัวอย่างไฟล์สแกนตัวอย่างสำหรับการทดสอบการนำเข้า defectdojo
  • Swingletree-Oss/Swingletree: รวมและสังเกตผลลัพธ์ของเครื่องมือท่อส่ง CI/CD ของคุณ
  • MERCEDES -BENZ/SECHUB: SECHUB - วิธีหนึ่งที่เป็นศูนย์กลางและง่ายในการใช้เครื่องมือรักษาความปลอดภัยที่แตกต่างกันกับ API/ไคลเอนต์หนึ่งตัว
  • MarcingUy/Betterscan -CE: การสแกนรหัส/การวิเคราะห์ SAST/แบบคงที่/ผ้าสำลีโดยใช้เครื่องมือ/เครื่องสแกนจำนวนมากพร้อมรายงานเดียว (รหัส, IAC) - Betterscan Community Edition (CE)
  • BBVA/Susto: การทดสอบความปลอดภัยสากลอย่างเป็นระบบ orchestration
  • AppTherat/Rosa: การทดลองที่ดูมีแนวโน้มมาก
  • โซลูชัน SBOM ของ Fossa
  • rezillion dynamic sbom
  • OpenSBOM-Generator/SPDX-SBOM-Generator: รองรับการสร้าง CI ของ SBOM ผ่านเครื่องมือ Golang
  • เครื่องมือ SBOM ของ Tauruseer
  • ภาษาที่สนับสนุนของ Soos
  • Fortress: Bill of Materials ซอฟต์แวร์
  • javixeneize/yasca: ยังเป็นเครื่องมือ SCA อื่น
  • Cybeats SBOM Studio
  • EdgeBitio/Edgebit-Build: การกระทำของ GitHub เพื่ออัปโหลด SBOMs ไปยัง EdgeBit และรับบริบทช่องโหว่ในคำขอดึงของคุณจาก EdgeBit-ความปลอดภัยของห่วงโซ่อุปทานตามเวลาจริงทำให้ทีมรักษาความปลอดภัยกำหนดเป้าหมายและประสานงานการแก้ไขช่องโหว่โดยไม่ต้องทำงานหนัก
  • ซอฟต์แวร์ประกันซอฟต์แวร์ Guardian Point (SAG-PM) ของ REA
  • Microsoft/SBOM-Tool: เครื่องมือ SBOM เป็นเครื่องมือพร้อมที่ปรับขนาดได้สูงและเป็นองค์กรในการสร้าง SBOM ที่เข้ากันได้กับ SPDX 2.2 สำหรับสิ่งประดิษฐ์ที่หลากหลาย
  • SCA ของ Veracode เพื่อทำการสแกนความปลอดภัยโดยอัตโนมัติดูการสาธิต: วิธีการสร้าง Bill Bill of Materials (SBOM) โดยใช้การวิเคราะห์องค์ประกอบซอฟต์แวร์ Veracode
  • Enterprise Edition - Blubracket: Code Security & Secret Detection
  • การวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA) | ไซเบอร์
  • Nexus Intelligence - Sonatype Data Services
  • AppTherat/DEP-SCAN: การตรวจสอบความปลอดภัยแบบโอเพ่นซอร์สอย่างเต็มที่สำหรับการพึ่งพาโครงการตามช่องโหว่และคำแนะนำที่รู้จัก รองรับทั้ง repos ท้องถิ่นและภาพคอนเทนเนอร์ รวมเข้ากับสภาพแวดล้อม CI ต่างๆเช่น Azure Pipelines, Circleci, Google CloudBuild ไม่จำเป็นต้องใช้เซิร์ฟเวอร์!
  • SBS2001/FATBOM: FATBOM (FAT Bill of Materials) เป็นเครื่องมือที่รวม SBOM ที่สร้างขึ้นโดยเครื่องมือต่าง ๆ เข้ากับ SBOM ไขมันหนึ่งตัว จึงใช้ประโยชน์จากความแข็งแกร่งของเครื่องมือแต่ละตัว
  • Sonatype Bom Doctor
  • jhutchings1/spdx-to-dependency-graph-action: การกระทำของ GitHub ที่ใช้ SPDX SBOMs และอัปโหลดไปยัง API การส่งการพึ่งพาของ GitHub ไปยังการแจ้งเตือนพึ่งพาพลังงานของ GitHub
    • ดูเพิ่มเติมที่: evryfs/sbom-dependency-submission-action: ส่ง sboms ไปยัง API การส่งการพึ่งพาของ GitHub
    • และเอกสารการส่งการพึ่งพา
  • Tap8stry/Orion: Go Beyond Package Manager Discovery สำหรับ SBOM
  • Patriksvensson/Covenant: เครื่องมือในการสร้าง SBOM (Software Bill of Materials) จากสิ่งประดิษฐ์ซอร์สโค้ด
  • CyclonEdx/Cyclonedx-Webpack-Plugin: สร้างซอฟต์แวร์ Cyclonedx Bill of Materials (SBOM) จาก WebPack Bundles ในเวลาที่รวบรวม
  • ความปลอดภัยขั้นสูง/GH-SBOM: สร้าง SBOMs ด้วย GH CLI
  • Interlynk -io/sbomqs: คะแนนคุณภาพ SBOM - ตัวชี้วัดคุณภาพสำหรับ SBOM ของคุณ
  • eBay/SBOM-SCORECARD: สร้างคะแนนสำหรับ SBOM ของคุณเพื่อทำความเข้าใจว่ามันจะเป็นประโยชน์จริงหรือไม่

แหล่งข้อมูลที่น่าสนใจยิ่งขึ้น:

  • Braking Down Security Podcast: 2020-031-Allan Friedman, SBOM, ความโปร่งใสของซอฟต์แวร์และรู้ว่าไส้กรอกทำอย่างไร
  • ตอนที่ 312: The Legend of the SBOM
  • การปรับเปลี่ยนพอดคาสต์ไซเบอร์: Log4j ช่องโหว่ให้บทเรียนที่รุนแรงในการพึ่งพาที่ไม่รู้จัก
  • พ็อดคาสต์ Burndown Debt Tebed Tech 1 E11: Allan Friedman และ SBOMS
  • Sounil Yu บน SBOMS, Suftion Supply Chain Security - การสนทนาด้านความปลอดภัย
  • สำรวจความปลอดภัย ความสำคัญของ SBOM Scott McGregor, Cloud Security, Wind River
  • ลงพอดคาสต์ Security Rabbithole: DTSR Episode 487 - Software Supply Chain เป็น BFD
  • การวิเคราะห์องค์ประกอบซอฟต์แวร์พอดคาสต์: ซอฟต์แวร์ซัพพลายเชน - ตอนที่ 1
  • การอัปเดตที่สำคัญ: คุณรู้หรือไม่ว่ามีอะไรอยู่ในซอฟต์แวร์ของคุณ?
  • ใบเรียกเก็บเงินซอฟต์แวร์ของวัสดุ ซีซ่า
  • SBOM ใช้เคส - RKVST และ RKVST SBOM HUB - RKVST
    • ยังอ่าน: SBOM Hub - การแมปแอตทริบิวต์ NTIA
  • BOF: SBOMs สำหรับระบบฝังตัว: อะไรทำงานอะไรไม่? - Kate Stewart, มูลนิธิ Linux
  • ทั้งหมดเกี่ยวกับ bom นั้น 'การแข่งขันที่ Bom - Melba Lopez, IBM
  • OWASP CYCLONEDX เปิดตัว SBOM Exchange API
  • อ่าน: SBOM Management | หกวิธีป้องกันการแผ่กิ่งก้านสาขา
  • อ่าน: องค์ประกอบขั้นต่ำของ NTIA สำหรับการเรียกเก็บเงินซอฟต์แวร์ของวัสดุ
  • อ่าน: SBOM สามารถทำอะไรให้คุณได้บ้าง

โครงการโอเพ่นซอร์สบางโครงการกำลังจัดทำเอกสารในที่สาธารณะวิธีที่พวกเขาได้รับการพึ่งพา ตัวอย่างที่มีความตั้งใจและเป็นรูปแบบของมนุษย์ที่มีรูปแบบยาวนานสามารถเป็นตัวอย่างได้:

  • Invoy/Independency_policy.md ที่หลัก· Invoyproxy/Invoy
  • สิ่งที่ Curl คาดหวังจากการพึ่งพา
  • ความปลอดภัย: มูลค่าของ SBOMs จากฟลักซ์

การแลกเปลี่ยนข้อมูลช่องโหว่

  • OSV
    • อ่าน: SBOM ในการดำเนินการ: การค้นหาช่องโหว่ด้วย Bill Bill of Materials
    • ที่เกี่ยวข้อง: SPDX/SPDX-to-OSV: สร้างไฟล์ช่องโหว่โอเพนซอร์ส JSON ตามข้อมูลในเอกสาร SPDX
    • เครื่องมือ: Google/OSV-Scanner: เครื่องสแกนช่องโหว่ที่เขียนใน GO ซึ่งใช้ข้อมูลที่จัดทำโดย https://osv.dev
  • ท่อตรวจจับช่องโหว่ของ Qualys
  • Vuls ·เครื่องสแกนช่องโหว่แบบไม่มีตัวแทนสำหรับ Linux/FreeBSD
  • ฐานข้อมูลช่องโหว่ API ยังมีอยู่เช่นกัน ดู vuldb
  • AppTherat/Vulnerability-DB: ฐานข้อมูลช่องโหว่และการค้นหาแพ็คเกจสำหรับแหล่งข้อมูลเช่น OSV, NVD, GitHub และ NPM
  • Aquasecurity/Trivy: Scanner สำหรับช่องโหว่ในภาพคอนเทนเนอร์ระบบไฟล์และที่เก็บ Git รวมถึงปัญหาการกำหนดค่า
  • SAST สำหรับ Code Security | รหัส Snyk
    • ดูเพิ่มเติมที่: การเลือกไลบรารีโอเพ่นซอร์สจาก Snyk
  • ความคมชัดของชุมชน
  • แคตตาล็อกช่องโหว่ที่เป็นที่รู้จัก ซีซ่า
  • CVE-SEARCH/CVE-SEARCH: CVE-SEARCH-เครื่องมือในการดำเนินการค้นหาช่องโหว่ที่รู้จักกันในท้องถิ่น
  • Exein-io/Kepler: ร้านค้นหา CVE ที่ใช้ NIST และ API ขับเคลื่อนโดย Rust
  • NEXB/VulnerableCode: การทำงานระหว่างดำเนินการไปยังฐานข้อมูลช่องโหว่ฟรีและเปิดและแพ็คเกจที่ส่งผลกระทบ และเครื่องมือในการรวมและเชื่อมโยงช่องโหว่เหล่านี้ สนับสนุนโดย nlnet https://nlnet.nl/project/vulnerabilitydatabase/ สำหรับ https://www.aboutcode.org/ แชทที่ https://gitter.im/aboutcode-org/vulnerableCode
  • Toolswatch/Vfeed: ช่องโหว่ CVE ที่สัมพันธ์กันและฐานข้อมูลข่าวกรองการคุกคาม API
  • OSSF/SCORECARD: ดัชนีชี้วัดความปลอดภัย - ตัวชี้วัดด้านความปลอดภัยสำหรับโอเพ่นซอร์ส, ตัวชี้วัด OPENSSF และ OSSF/Security -Reviews: คอลเลกชันชุมชนบทวิจารณ์ความปลอดภัยของส่วนประกอบซอฟต์แวร์โอเพนซอร์ส
    • OSSF/SCORECART-ACTION: การกระทำอย่างเป็นทางการของ GitHub สำหรับดัชนีชี้วัด OSSF
      • หมายเหตุ: การกระทำของ GitHub Action V2 ของ OpenSSF
    • นอกจากนี้ยังมีข้อมูลเชิงลึกด้านความปลอดภัยของ OpenSSF
    • อ่าน: Scorecards OpenSSF สามารถช่วยประเมินความเสี่ยงซอฟต์แวร์โอเพนซอร์ซได้อย่างไร
    • ตัวอย่างชีวิตจริงที่ยอดเยี่ยม: สถานะของมูลนิธิคราส GitHub GitHub
  • Lynis - เครื่องมือตรวจสอบความปลอดภัยและการชุบแข็งสำหรับ Linux/UNIX
  • ผู้ที่ตกเป็นเหยื่อ/ผู้ที่ตกเป็นเหยื่อ CVE-DB: CVE Database Store
  • Anchore/Grype: เครื่องสแกนช่องโหว่สำหรับภาพคอนเทนเนอร์และระบบไฟล์
    • ดูการใช้ grype เพื่อระบุช่องโหว่การกระทำของ GitHub
    • และตอนนี้ Grype รองรับมาตรฐาน CyclonedX และ SPDX
  • ฐานข้อมูลที่ปรึกษาของ GitHub ตอนนี้เปิดให้มีการมีส่วนร่วมของชุมชน
  • คณะทำงานฐานข้อมูลความปลอดภัยทั่วโลก CSA ยังดู CloudSecurityAlliance/GSD-Database: ฐานข้อมูลความปลอดภัยทั่วโลก
  • Trickest/CVE: รวบรวมและอัปเดต CVE ใหม่ที่มีอยู่และใหม่ล่าสุดด้วย POC ของพวกเขา
  • RFC 9116: รูปแบบไฟล์เพื่อช่วยในการเปิดเผยช่องโหว่ความปลอดภัย
  • แบบฝึกหัด AOSP vuln-to-commit: Quarkslab/AOSP_DATASET: ชุดข้อมูลช่องโหว่ที่แม่นยำมากขึ้นอยู่กับ AOSP CVE
    • สร้างชุดข้อมูลช่องโหว่ระดับ
  • NYPH-Infosec/Daggerboard
  • Davideshay/Vulnscan: ช่องโหว่ Scanner Suite บนพื้นฐานของ Grype และ Syft จาก Anchore
  • Devops-kung-fu/bomber: สแกน sboms สำหรับช่องโหว่ความปลอดภัย
  • ป้อมปราการ: การจัดการช่องโหว่
  • การจัดการช่องโหว่ อดัลลัส
  • Secvisogram/Secvisogram: Secvisogram เป็นเครื่องมือบนเว็บสำหรับการสร้างและแก้ไขคำแนะนำด้านความปลอดภัยในรูปแบบ CSAF 2.0
  • Future-Architect/Vuls: เครื่องสแกนช่องโหว่ที่น้อยกว่าตัวแทนสำหรับ Linux, FreeBSD, คอนเทนเนอร์, WordPress, ไลบรารีภาษาการเขียนโปรแกรม, อุปกรณ์เครือข่าย
  • Infobyte/Faraday: แพลตฟอร์มการจัดการช่องโหว่โอเพนซอร์สจาก Faraday - ชุมชน V4
  • MITER/SAF: MITER Security Automation Framework (SAF) คำสั่งอินเทอร์เฟซสาย (CLI) รวบรวมแอปพลิเคชันเทคนิคไลบรารีและเครื่องมือที่พัฒนาโดย MITER และชุมชนความปลอดภัยเพื่อปรับปรุงระบบความปลอดภัยอัตโนมัติสำหรับระบบและท่อ DevOps
  • Devops-kung-fu/bomber: สแกนซอฟต์แวร์บิลวัสดุ (SBOMs) สำหรับช่องโหว่ด้านความปลอดภัย
  • rezilion/MI-X: ตรวจสอบว่าการคำนวณของคุณมีความเสี่ยงต่อช่องโหว่เฉพาะอย่างแท้จริงโดยการบัญชีสำหรับปัจจัยทั้งหมดที่มีผลต่อการใช้ประโยชน์ จริงหรือไม่ (การดำเนินการรันไทม์การกำหนดค่าการอนุญาตการดำรงอยู่ของการบรรเทาผลกระทบระบบปฏิบัติการ ฯลฯ )
  • มาตรฐาน OSSF-CVE/OSSF-CVE: เกณฑ์มาตรฐาน OpenSSF CVE ประกอบด้วยรหัสและข้อมูลเมตาสำหรับ CVEs ในชีวิตจริงกว่า 200 รายการรวมถึงเครื่องมือในการวิเคราะห์รหัสฐานที่มีช่องโหว่
  • ดูการจัดการช่องโหว่ในเอกสาร Neuvector สำหรับตัวอย่างการรวมในสถานการณ์คอนเทนเนอร์
  • NOQCKS/XEOL: เครื่องสแกนแพ็คเกจ End-of Life (EOL) สำหรับภาพคอนเทนเนอร์ระบบและ SBOMS
  • MCHMARNY/VIMP: เปรียบเทียบข้อมูลจากสแกนเนอร์ช่องโหว่หลายตัวเพื่อให้ได้ภาพที่สมบูรณ์ยิ่งขึ้นของความเสี่ยงที่อาจเกิดขึ้น

ส่วนที่ทุ่มเทในการอ่าน VEX:

  • Cyclonedx - ช่องโหว่การแลกเปลี่ยนความสามารถในการหาช่องโหว่ (VEX)
    • การแลกเปลี่ยนช่องโหว่การเอารัดเอาเปรียบอธิบายได้อย่างไร: VEX ทำให้ SBOM ดำเนินการได้อย่างไร
    • วิธีที่ VEX ช่วย SBOM+SLSA ปรับปรุงทัศนวิสัยซัพพลายเชนได้อย่างไร บล็อก Google Cloud
    • VEX คืออะไรและทำอะไรกับ SBOMS?
    • VEX คืออะไร? เป็นการแลกเปลี่ยนการหาประโยชน์จากช่องโหว่!
    • มาตรฐานการแลกเปลี่ยนความสามารถในการใช้ประโยชน์จากช่องโหว่ (VEX)
    • vex และ sboms
    • VDR หรือ VEX - ฉันจะใช้แบบไหน? ส่วนที่ 1
    • ก้น หรือ ... วิธีลดเสียงรบกวน CVE ด้วยเคล็ดลับง่ายๆ! โดย Frederick Kautz
    • ช่องโหว่ Exporch Exchange (VEX) - เหตุผลสถานะ
  • vex แบบเรียลไทม์

ดูอีกด้วย:

  • VulnCode-DB บนเส้นทางการเสื่อมราคา
  • GitHub นำคุณลักษณะความปลอดภัยของห่วงโซ่อุปทานมาสู่ชุมชนสนิม
  • Cycognito ใช้การทำแผนที่ ATT & CK กับ CVE เพื่อรับผลกระทบ
  • อ่าน: ดูอย่างใกล้ชิดกับคะแนน CVSS, Patch Madness: คำแนะนำข้อผิดพลาดของผู้ขายเสียดังนั้นจึงไม่สมบูรณ์และดูฐานข้อมูลช่องโหว่และวิธีการให้คะแนนที่ไม่สมบูรณ์และวิธีการให้คะแนน
  • อ่าน: วิธีวิเคราะห์ SBOM และวิธีการสร้างและโฮสต์ SBOM จาก CloudSmith
  • อ่าน: หลังจากคำแนะนำจากทีม Insights Open Source ของ Google

การตรวจสอบจุดใช้งาน

ส่วนนี้รวมถึง: นโยบายการรับเข้าและการบริโภคการตรวจสอบเวลาแบบดึงและการตรวจสอบผู้ใช้ปลายทาง

  • Kyverno
    • อ่าน: การสแกนภาพด้วย Kyverno
      • และ: การจัดการนโยบาย Kyverno เป็นสิ่งประดิษฐ์ OCI ด้วยแหล่งที่มาของ ocirepository
    • นอกจากนี้: TeriifySec/Judge-K8s: หลักฐานแนวคิด Kubernetes Controller โดยใช้ห้องสมุดการยืนยันพยานยืนยัน
  • Ckotzbauer/SBOM-Operator: แคตตาล็อกภาพทั้งหมดของคลัสเตอร์ Kubernetes ไปยังหลายเป้าหมายด้วย Syft
  • Connaisseur - ตรวจสอบลายเซ็นภาพคอนเทนเนอร์ใน Kubernetes
  • Sigstore/Policy-Controller: ตัวควบคุมการรับสมัครนโยบายที่ใช้ในการบังคับใช้นโยบายบนคลัสเตอร์เกี่ยวกับข้อมูลเมตาซัพพลายเชนที่ตรวจสอบได้จาก COSIGN
    • ดูเพิ่มเติมที่: Lukehinds/Policy-Controller-Demo: Demo ของการเซ็นสัญญาแบบไร้กุญแจกับตัวควบคุมนโยบาย Sigstore Kubernetes Sigstore Kubernetes
  • portieris/policies.md ที่ Main · IBM/Portieris
  • Reproducible-containers/repro-get: apo apt/dnf/apk/pacman ที่ทำซ้ำได้
  • KPCYRD/PACMAN-BINTRANS: ความโปร่งใสแบบไบนารีทดลองสำหรับ Pacman กับ Sigstore และ Rekor
    • ดู: KPCYRD/APT-SWARM:? P2P Gossip Network สำหรับการอัปเดตความโปร่งใสตาม PGP หรือไม่
  • ตัวแทนนโยบายเปิด
  • conftest อนุญาตให้เขียนการทดสอบกับข้อมูลการกำหนดค่าที่มีโครงสร้างโดยใช้ภาษา rego rego rego rego rego rego agent
  • ตะขอล่วงหน้าหลายครั้งอนุญาตให้ตรวจสอบช่องโหว่ได้อย่างถูกต้องก่อนที่จะใช้เวลาในการพึ่งพาใน codebase
    • เช่น pyupio/ความปลอดภัย: ความปลอดภัยตรวจสอบการพึ่งพาที่ติดตั้งของคุณสำหรับช่องโหว่ด้านความปลอดภัยที่รู้จัก
      • หรือ NPM-Audit
        • ดู Snyk-Labs/Snync: ลดความกังวลด้านความปลอดภัยของความเสี่ยงต่อความสับสนในการพึ่งพาซัพพลายเชน
        • และ Lirantal/Lockfile-Lint: ผ้าสำลี NPM หรือเส้นด้ายล็อคไฟล์เพื่อวิเคราะห์และตรวจจับปัญหาความปลอดภัย
      • หรือต้องการ. ตรวจสอบการพึ่งพาของคุณ
      • หรือเครื่องสแกนความปลอดภัยของ Brakeman
      • หรือ trailofbits/pip-audit: การตรวจสอบสภาพแวดล้อม Python และต้นไม้พึ่งพาสำหรับช่องโหว่ที่รู้จัก
        • ดูเพิ่มเติมที่: การแจ้งเตือนแบบพึ่งพาอาศัยอยู่ในขณะนี้หากรหัสของคุณเรียกช่องโหว่
        • และ: ใช้ data-dist-info-metadata (PEP 658) เพื่อแยกความละเอียดจากการดาวน์โหลดโดย cosmicexplorer ·คำขอดึง #11111 · pypa/pip
      • โครงการที่เกี่ยวข้องกับ Python ที่น่าสนใจ: Project Thoth โดยใช้ปัญญาประดิษฐ์เพื่อวิเคราะห์และแนะนำสแต็คซอฟต์แวร์สำหรับแอปพลิเคชัน Python
      • หรือ CheckMarx/chainjacking: ค้นหาว่าการพึ่งพา github direct github ใดที่มีความอ่อนไหวต่อการโจมตี chainjacking
      • หรือสัตวแพทย์คาร์โก้และ CREV-DEV/CARGO-CREV: ระบบตรวจสอบรหัสที่ตรวจสอบได้ด้วยการเข้ารหัสลับสำหรับผู้จัดการแพ็คเกจการขนส่งสินค้า (Rust)
      • ไม่ใช่การตรวจสอบความถูกต้องอัตโนมัติ แต่เป็นแนวทางที่ครอบคลุมสำหรับ Java ที่มีจุดวิกฤติเล็กน้อยที่เกี่ยวข้องกับความปลอดภัยของห่วงโซ่อุปทาน: Google แนวทางปฏิบัติที่ดีที่สุดสำหรับไลบรารี Java
  • การวิเคราะห์แบบคงที่มักใช้ในขั้นตอนนี้เพื่อตรวจจับการได้มาซึ่งการพึ่งพาเช่น:
    • เซาะร่อน
      • เริ่มต้นด้วยห่วงโซ่อุปทาน semgrep
      • ดูเพิ่มเติมที่: การจับช่องโหว่ด้านความปลอดภัยด้วย semgrep
    • graudit/ลายเซ็นที่อาจารย์· Wireghoul/graudit
    • Banyanops/Collector: กรอบสำหรับการวิเคราะห์แบบคงที่ของภาพคอนเทนเนอร์ Docker
    • Quay/Clair: ช่องโหว่การวิเคราะห์แบบคงที่สำหรับภาชนะบรรจุ
    • Datadog/Guarddog: Guarddog เป็นเครื่องมือ CLI ในการระบุแพ็คเกจ PYPI และ NPM ที่เป็นอันตราย
    • Eliasgranderubio/Dagda: เครื่องมือในการทำการวิเคราะห์แบบคงที่ของช่องโหว่ที่รู้จักโทรจันไวรัสมัลแวร์และภัยคุกคามที่เป็นอันตรายอื่น ๆ ในภาพนักเทียบท่า/ภาชนะ
      • ครึ่งยอดเยี่ยมครึ่งตลกมีประโยชน์อย่างเต็มรูปแบบ: KPCyrd/Libredefender: ลองนึกภาพแนวทางการปฏิบัติตามความปลอดภัยของข้อมูลบอกว่าคุณต้องใช้โปรแกรมป้องกันไวรัส แต่คุณเรียกใช้ Arch Linux
    • KICS - การรักษาโครงสร้างพื้นฐานเป็นรหัสที่ปลอดภัย
    • Tinkerbell/Lint-Install: ติดตั้งกฎ linter ที่สมเหตุสมผลสำหรับโครงการโอเพนซอร์ซอย่างสม่ำเสมอ
    • กฎ hadolint ในการติดตั้งแพ็คเกจเช่น Hadolint/Readme.md ที่ D16F342C8E70FCFFC7A788D122A1BA602075250D · HADOLINT/HADOLINT
      • นอกจากนี้การสแกนทรัพยากร DockerFile-Checkov จาก BridGecrewio/Checkov: ป้องกันการกำหนดค่าผิดพลาดของคลาวด์ในระหว่างการสร้างเวลาสำหรับ Terraform, CloudFormation, Kubernetes, เฟรมเวิร์กไร้เซิร์ฟเวอร์และโครงสร้างพื้นฐานอื่น ๆ
      • และ: XLAB-SI/IAC-SCAN-Runner: บริการที่สแกนโครงสร้างพื้นฐานของคุณเป็นรหัสสำหรับช่องโหว่ทั่วไป
      • และ: AWS-Samples/Automated Security-Helper1
  • การประเมินช่องโหว่ พอร์ทัล OpenScap
  • ตรวจจับ log4shell ด้วย wazuh
  • Aquasecurity/Starboard: Kubernetes-Native Security Toolkit
    • เริ่มต้นด้วย Kubernetes Security และ Starboard
  • Armosec/Kubescape: Kubescape เป็นเครื่องมือโอเพนซอร์ซ K8S ที่ให้กระจกบานเดียว K8S แบบหลายคลาวด์รวมถึงการวิเคราะห์ความเสี่ยงการปฏิบัติตามความปลอดภัย
    • นอกจากนี้: Kubescape Visual Studio Code Extension
  • ckotzbauer/ช่องโหว่-ผู้ดำเนินการ: สแกน sboms สำหรับช่องโหว่
  • Chen-Keinan/Kube-beacon: เครื่องสแกนรันไทม์โอเพนซอร์สสำหรับคลัสเตอร์ K8S และทำการตรวจสอบการตรวจสอบความปลอดภัยตามข้อกำหนดมาตรฐาน CIS Kubernetes CIS Kubernetes
  • Aquasecurity/Kube-Bench: ตรวจสอบว่า Kubernetes ถูกนำไปใช้ตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยตามที่กำหนดไว้ในมาตรฐาน CIS Kubernetes และ Aquasecurity/Kube-Hunter: ตามล่าหาจุดอ่อนด้านความปลอดภัยในกลุ่ม Kubernetes
  • OpenClarity/Kubeclarity: Kubeclarity เป็นเครื่องมือสำหรับการตรวจจับและการจัดการซอฟต์แวร์ Bill of Materials (SBOM) และช่องโหว่ของภาพคอนเทนเนอร์และระบบไฟล์
  • Stackrox/Stackrox: แพลตฟอร์มความปลอดภัยของ Stackrox Kubernetes ดำเนินการวิเคราะห์ความเสี่ยงของสภาพแวดล้อมคอนเทนเนอร์ให้การมองเห็นและการแจ้งเตือนรันไทม์และให้คำแนะนำเพื่อปรับปรุงการรักษาความปลอดภัยเชิงรุกโดยการทำให้สภาพแวดล้อมแข็งตัว
  • CloudQuery/Plugins/Source/K8S/นโยบายที่ Main · CloudQuery/CloudQuery
  • Quarkslab/Kdigger: Kubernetes การประเมินคอนเทนเนอร์ที่เน้นและเครื่องมือการค้นพบบริบทสำหรับการทดสอบการเจาะ
  • Ossillate-INC/PackJ: เครื่องมือการตรวจสอบที่อยู่เบื้องหลังแพลตฟอร์มการวิเคราะห์ความปลอดภัยขนาดใหญ่ของเราเพื่อตรวจจับแพ็คเกจโอเพนซอร์ซที่เป็นอันตราย/เสี่ยงที่เป็นอันตรายและ PackJ | เครื่องมือตรวจหาแพ็คเกจ "เสี่ยง"
  • DOOWON/SIGTOOL: SIGTOOL สำหรับไฟล์ PE ที่ลงนามใน GO
  • แนะนำ "Safe NPM", ซ็อกเก็ต NPM wrapper - ซ็อกเก็ต
  • แนะนำ SafeDep Vet | SafeDep

ดูอีกด้วย:

  • การวิเคราะห์-tools-dev/การวิเคราะห์แบบคงที่: รายการเครื่องมือการวิเคราะห์แบบคงที่ (SAST) สำหรับภาษาการเขียนโปรแกรมทั้งหมดไฟล์กำหนดค่าเครื่องมือสร้างและอื่น ๆ
  • Anderseknert/Awesome-Opa: รายการเครื่องมือที่เกี่ยวข้องกับ OPA กรอบและบทความที่เกี่ยวข้องกับ OPA
  • Jupiterone/Secops-Automation-Examples: ตัวอย่างเกี่ยวกับวิธีการรักษาความปลอดภัย/การปฏิบัติตามกฎระเบียบเป็นรหัสและเพื่อให้ SECOps อัตโนมัติโดยใช้แพลตฟอร์ม Jupiterone
    • วิธีที่เราสร้าง Bill Bill of Materials (SBOM) ด้วย cyclonedx
  • การรักษาความปลอดภัยท่อ CICD ด้วย stackrox / rhacs และ sigstore
  • ดู: คุณไว้วางใจผู้จัดการแพ็คเกจของคุณหรือไม่? ที่ Security Fest 2022

ซัพพลายเชนนอกเหนือจากห้องสมุด

และบางสิ่งที่ต้องดูนอกเหนือจากห้องสมุดและการพึ่งพาซอฟต์แวร์:

  • ความโปร่งใสของระบบ สถาปัตยกรรมความปลอดภัยสำหรับเซิร์ฟเวอร์โลหะเปลือย
  • โปรไฟล์โฮสต์ที่เลียนแบบใน FWUPD
  • GNOME เพื่อเตือนผู้ใช้หาก Secure Boot ปิดใช้งานเตรียมความช่วยเหลือด้านความปลอดภัยของเฟิร์มแวร์อื่น ๆ
  • โครงการป้องกันตนเองเคอร์เนล - ระบบย่อยความปลอดภัยของเคอร์เนล Linux
  • KeyLime / KeyLime: โครงการ CNCF เพื่อ bootstrap & รักษาความไว้วางใจบนขอบ / คลาวด์และ IoT
  • parallaxsecond/parsec: แพลตฟอร์มนามธรรมสำหรับบริการรักษาความปลอดภัย
  • TPM Carte Blanche Boot Astestatation

เอกลักษณ์การลงนามและที่มา

ส่วนนี้รวมถึง: โครงการและการอภิปรายเฉพาะสำหรับตัวตนของนักพัฒนา, OIDC, คีย์และหัวข้อที่เกี่ยวข้อง

  • ส่วนหนึ่งของ Sigstore
    • cosign
    • คนที่เต็มไปด้วยน้ำ
    • การโหยหา
    • ดูเพิ่มเติมที่: Kubernetes แตะ Sigstore เพื่อขัดขวางการโจมตีซัพพลายเชนซอฟต์แวร์โอเพนซอร์ซ
    • มุมมองเฉพาะของ Sigstore ของภูมิทัศน์ OpenSSF
  • CAS - CAS Service
  • พยาน - พยาน/พยาน: พยานเป็นกรอบการใช้งานได้สำหรับการจัดการความเสี่ยงห่วงโซ่อุปทานซอฟต์แวร์ มันเป็นไปโดยอัตโนมัติทำให้เป็นมาตรฐานและตรวจสอบสิ่งประดิษฐ์ซอฟต์แวร์ที่ให้มา
    • WATCH: การรักษาความปลอดภัยห่วงโซ่อุปทานด้วยพยาน - โคลเคนเนดี
    • ดูเพิ่มเติมที่: TervySec/Go-IMA: Go-IMA เป็นเครื่องมือที่ตรวจสอบว่าไฟล์ถูกดัดแปลงด้วยหรือไม่ มีประโยชน์ในการสร้างความมั่นใจในความสมบูรณ์ในระบบ CI
  • PUERCO/TEJOLOTE: ผู้ดำเนินการสร้างและผู้สังเกตการณ์สร้างที่กำหนดค่าได้สูงออกแบบมาเพื่อสร้างการยืนยันการรับรอง SLSA ที่ลงนามเกี่ยวกับการสร้างการทำงาน
  • IntoTo-Run-GitHub Marketplace และ In-Toto/GitHub-Action: การกระทำใน Toto Provenance GitHub
  • ความพร้อมใช้งานทั่วไปของเครื่องกำเนิดไฟฟ้าทั่วไป SLSA3 สำหรับการกระทำของ GitHub
    • SLSA-FRAMEWORK/SLSA-GITHUB-GENERATOR: การสร้าง Provenance SLSA ภาษา SLSA สำหรับการกระทำของ GitHub
    • ดูเพิ่มเติม: การรับรองการประดิษฐ์ | เอกสาร chainloop
  • Technosophos/Helm-GPG: การลงนามในแผนภูมิและการตรวจสอบด้วย GNUPG สำหรับ Helm
  • CashApp/Pivit เป็นเครื่องมือบรรทัดคำสั่งสำหรับการจัดการใบรับรอง x509 ที่เก็บไว้ในสมาร์ทการ์ดด้วยการรองรับ Applet PIV ที่เข้ากันได้อย่างสมบูรณ์กับ git
  • NotaryProject/Notary: ทนายความเป็นโครงการที่อนุญาตให้ทุกคนมีความไว้วางใจในการรวบรวมข้อมูลโดยพลการ
    • NotaryProject/Roadmap: แผนงานสำหรับ notaryv2
    • notaryproject/notation: Notation is a project to add signatures as standard items in the registry ecosystem, and to build a set of simple tooling for signing and verifying these signatures. Based on Notary V2 standard.
    • notaryproject/tuf: The Update Framework for OCI Registries
      • Also see vmware-labs/repository-editor-for-tuf: Command line tool for editing and maintaining a TUF repository
      • Also see How to easily try out TUF + in-toto
      • Check out Python-TUF reaches version 1.0.0
      • Related project: werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository.
      • Read: Secure Software Updates via TUF — Part 2
  • deislabs/ratify: Artifact Ratification Framework
  • latchset/tang: Tang binding daemon
  • ietf-rats - Overview
  • An exposed apt signing key and how to improve apt security
  • See Issue #21 · testifysec/witness for a succinct description of how testifysec/witness: Witness is a pluggable framework for software supply chain risk management. It automates, normalizes, and verifies software artifact providence. deals with attestation chains
    • Another witness example with GitLab
  • Allow using SSH keys to sign commits · Discussion #7744 · github/feedback
  • aws-solutions/verifiable-controls-evidence-store: This repository contains the source code of the Verifiable Controls Evidence Store solution
  • Read: Monitoring the kernel.org Transparency Log for a year
  • Also read: Software Distribution Transparency and Auditability
  • paragonie/libgossamer: Public Key Infrastructure without Certificate Authorities, for WordPress and Packagist
    • Read: Solving Open Source Supply Chain Security for the PHP Ecosystem
  • johnsonshi/image-layer-provenance, a PoC for Image Layer Provenance and Manifest Layer History
  • oras-project/artifacts-spec
  • recipy/recipy: Effortless method to record provenance in Python
  • spiffe/spire: The SPIFFE Runtime Environment
  • Fraunhofer-SIT/charra: Proof-of-concept implementation of the "Challenge/Response Remote Attestation" interaction model of the IETF RATS Reference Interaction Models for Remote Attestation Procedures using TPM 2.0.
  • google/trillian: A transparent, highly scalable and cryptographically verifiable data store.
  • Artifactory - Universal Artifact Management
  • pyrsia/pyrsia: Decentralized Package Network
  • transmute-industries/verifiable-actions: Workflow tools for Decentralized Identifiers & Verifiable Credentials
  • Watch: Privacy-preserving Approaches to Transparency Logs

Frameworks and best practice references

This section includes: reference architectures and authoritative compilations of supply chain attacks and the emerging categories.

  • in-toto | A framework to secure the integrity of software supply chains
  • Supply chain Levels for Software Artifacts or SLSA (salsa) is a security framework, a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.
    • Great read: SLSA | CloudSecDocs
    • Another L50 read: Building trust in our software supply chains with SLSA
    • Read: SLSA for Success: Using SLSA to help achieve NIST's SSDF and All about that Base(line): How Cybersecurity Frameworks are Evolving with Foundational Guidance
      • Also, a framework mapping put together by Red Hat
    • A Practical Guide to the SLSA Framework by FOSSA
    • Read: Securing Gitpod's Software Supply Chain with SLSA
    • Read: A First Step to Attaining SLSA Level 3 on GitHub
    • And a pattern search across GitHub for inspiration (thanks @infernosec)
  • OWASP Application Security Verification Standard, esp. V14 - Configuration
  • OWASP/Software-Component-Verification-Standard: Software Component Verification Standard (SCVS)
  • CREST launches OWASP Verification Standard (OVS)
  • SAFECODE's Fundamental Practices for Secure Software Development, Third Edition, esp. Manage Security Risk Inherent in the Use of Third-party Components
  • SSF | The Secure Software Factory and mlieberman85/supply-chain-examples
    • Related: A MAP for Kubernetes supply chain security
  • Software Supply Chain Risk Management | BSIMM
  • microsoft/scim: Supply Chain Integrity Model
    • Also see: Supply Chain Integrity, Transparency, and Trust (scitt) and What Is SCITT
  • Goodbye SDLC, Hello SSDF! What is the Secure Software Development Framework?
    • Also Comply with NIST's secure software supply chain framework with GitLab
  • The Supply Chain Risk Management section of SP 800-53 Rev. 5, Security and Privacy Controls for Info Systems and Organizations | CSRC, also see center-for-threat-informed-defense/attack-control-framework-mappings: Security control framework mappings to MITRE ATT&CK
  • SP 800-161 Rev. 1, C-SCRM Practices for Systems and Organizations | CSRC
  • npm Best Practices Guide (OpenSSF) - Features and recommendations on using npm safely
  • CIS Software Supply Chain Security Guide
  • microsoft/oss-ssc-framework: Open Source Software Secure Supply Chain Framework
  • GitHub's Implementing software security in open source
  • Previously referenced: Google Best Practices for Java Libraries
  • MITRE's System of Trust
  • Securing the Software Supply Chain for Developers was published by the National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), and the Office of the Director of National Intelligence (ODNI) under the Enduring Security Framework (ESF) initiative
  • OpenSSF's Concise Guide for Developing More Secure Software 2022-09-01
  • Chris Hughes on the NSA Recommended Practices for Developers: Securing the Software Supply Chain

Also see:

  • Zero Trust the Hard Way, Kelsey Hightower
  • KubePhilly March 2022- A Look At The Kubernetes SLSA Compliance Project
  • Supply Chain Risk Management

Build techniques

This section includes: reproducible builds, hermetic builds, bootstrappable builds, special considerations for CI/CD systems, best practices building artifacts such as OCI containers, etc.

  • Reproducible Builds, particularly the Documentation
    • rb ecosytem mapping
    • Reproducible Builds / reprotest
    • Is NixOS Reproducible?
  • Bootstrappable Builds (GNU Mes Reference Manual)
    • Also read Bootstrappable builds from LWN
  • tektoncd/chains: Supply Chain Security in Tekton Pipelines
    • Verifiable Supply Chain Metadata for Tekton - CD Foundation
  • google/santa: A binary authorization system for macOS
  • fepitre/package-rebuilder: Standalone orchestrator for rebuilding Debian, Fedora and Qubes OS packages in order to generate in-toto metadata which can be used with apt-transport-in-toto or dnf-plugin-in-toto to validate reproducible status.
  • kpcyrd/rebuilderd-debian-buildinfo-crawler: Reproducible Builds: Scraper/Parser for https://buildinfos.debian.net into structured data
    • Also see Reproducible Builds: Debian and the case of the missing version string - vulns.xyz
  • kpcyrd/rebuilderd: Independent verification of binary packages - reproducible builds
  • tag-security/sscsp.md at main · cncf/tag-security
  • defenseunicorns/zarf: DevSecOps for Air Gap & Limited-Connection Systems. https://zarf.dev/
  • Lockheed Martin / hoppr / hoppr is a CLI framework for defining, validating, and transferring dependencies between environments
    • Example using SBOM as an input: Inputs - Hoppr
  • On instrumenting runners:
    • Keep an eye on Draft: POC Witness Runner integration (!1) · Merge requests · testifysec / gitlab-runner for GitLab runners
    • Also, edgelesssys/constellation: Constellation is the first Confidential Kubernetes. Constellation shields entire Kubernetes clusters from the (cloud) infrastructure using confidential computing.
  • reposaur/reposaur: Open source compliance tool for development platforms.
  • buildsec/frsca is an implementation of the CNCF's Secure Software Factory Reference Architecture. It is also intended to follow SLSA requirements closely and generate in-toto attesttations for SLSA provenance predicates.
  • chainloop-dev/chainloop: Chainloop is an open source software supply chain control plane, a single source of truth for artifacts plus a declarative attestation crafting process.
    • Also see: Software Supply Chain Attestation the Easy Way from the Chainloop documentation
  • aquasecurity/chain-bench: an open-source tool for auditing your software supply chain stack for security compliance implementing checks for CIS 1.0 | Vulnerability Database | Aqua Security
  • ossf/allstar: GitHub App to set and enforce security policies
  • scribe-public/gitgat: Evaluate source control (GitHub) security posture
  • Legit-Labs/legitify: Detect and remediate misconfigurations and security risks across all your GitHub and GitLab assets
  • crashappsec/github-analyzer: A tool to check the security settings of Github Organizations.
  • wspr-ncsu/github-actions-security-analysis from Characterizing the Security of Github CI Workflows | USENIX
  • oss-reproducible - Measures the reproducibility of a package based on its purported source. Part of OSS Gadget
  • jart/landlock-make: Sandboxing for GNU Make has never been easier
    • Read: Using Landlock to Sandbox GNU Make
  • veraison/veraison: Project Veraison will build software components that can be used to build Attestation Verification Services
  • Changelog for Pants 2: The ergonomic build system
  • Bazel is an open source build and test tool similar to Make, Maven, and Gradle
  • GoogleContainerTools/kaniko: Build Container Images In Kubernetes
  • sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
  • buildsec/vendorme improves the developer workflow by giving you one single place to manage any vendored dependencies, and ensures that those are validated properly to improve the security around your supply chain
  • eellak/build-recorder
    • Also see: FOSDEM 2023 - Build recorder: a system to capture detailed information

Also see:

  • The reproducible-builds topic on GitHub
  • Dependency management as part of Google Cloud's Artifact Registry documentation
  • Security hardening for GitHub Actions
    • And: step-security/harden-runner: Security agent for GitHub-hosted runner: block egress traffic & detect code overwrite to prevent breaches
  • Handling build-time dependency vulnerabilities from Create guidance on triaging build time dependency vulnerabilities · Issue #855 · cncf/tag-security
  • Code Sight
  • cider-security-research/cicd-goat: A deliberately vulnerable CI/CD environment. Learn CI/CD security through multiple challenges.
    • And: step-security/attack-simulator: Simulate past supply chain attacks such as SolarWinds, Codecov, and ua-parser-js
  • Read: What Makes a Build Reproducible, Part 2
  • Read: Building a Secure Software Supply Chain with GNU Guix
  • alecmocatta/build_id: Obtain a UUID uniquely representing the build of the current binary.
  • Read: On Omitting Commits and Committing Omissions: Preventing Git Metadata Tampering That (Re)introduces Software Vulnerabilities
  • Read: Reproducible Builds: Break a log, good things come in trees
  • Secure Your Software Factory with melange and apko
    • On the apko pattern, see Shopify/hansel
  • kpcyrd/archlinux-inputs-fsck: Lint repository of PKGBUILDs for cryptographically pinned inputs

Talks, articles, media coverage and other reading

Getting started and staying fresh

  • A few resources, in addition to this repository, that can help keep up with news and announcements:
    • An RSS feed maintained by @bureado with a mix of open source security, DevSecOps, AppSec and supply chain security news: corner-security
    • tl;dr sec Newsletter
    • Past Issues | CloudSecList
    • News - reproducible-builds.org
    • A great compilation of reads, context and learning materials: chainguard-dev/ssc-reading-list: A reading list for software supply-chain security.
    • A visual reference by Enso Security: AppSec Map
    • A similar one: Jetstack | The Software Supply Chain Toolkit
    • wg-security-tooling/guide.md at main · ossf/wg-security-tooling from ossf/wg-security-tooling: OpenSSF Security Tooling Working Group
    • A toolbox for a secure software supply chain from Chainguard
    • The Technology chapter in Snyk's DevSecOps series
    • A helpful list of acronyms: Acronyms | OpenSCAP portal
    • slsa/terminology.md at main · slsa-framework/slsa
    • tag-security/cloud-native-security-lexicon.md at main · cncf/tag-security
    • Watch: How to start learning about Supply Chain Security
    • Watch: Open Source Supply Chain Security: A Visualization of the Checkmarx Solution, plus the Checkmarx channel on YouTube has excellent explanatory videos for tactics, techniques and procedures in the supply chain security domain, for example: Large Scale Campaign Created Fake GitHub Projects Clones with Fake Commit Added Malware

And a collection of reads and listens, ranging from insightful blog posts, explainers/all-rounders and some long-form analysis (we've tried to keep deep dive reads scoped to other sections)

  • Secure Software Development Fundamentals Courses - Open Source Security Foundation
    • Securing Your Software Supply Chain with Sigstore
  • Census II of Free and Open Source Software — Application Libraries
  • “Chain”ging the Game - how runtime makes your supply chain even more secure
  • How to attack cloud infrastructure via a malicious pull request
  • The Challenges of Securing the Open Source Supply Chain
  • What is a Software Supply Chain Attestation - and why do I need it?
  • Open Policy Agent 2021, Year in Review
  • Reproducibility · Cloud Native Buildpacks and Buildpacks and SBOM Integration Opportunities
  • The state of software bill of materials: SBOM growth could bolster software supply chains
  • Secure Your Software Supply Chain with New VMware Tanzu Application Platform Capabilities
    • Secure Software Supply Chains
  • A few resources to understand supply chain compromises:
    • Supply Chain Compromise - attackics
    • tag-security/supply-chain-security/compromises at main · cncf/tag-security
    • IQTLabs/software-supply-chain-compromises: A dataset of software supply chain compromises. Please help us maintain it!
    • Taxonomy of Attacks on Open-Source Software Supply Chains and Risk Explorer for Software Supply Chains
      • Endor Labs' version: Risk Explorer for Software Supply Chains
      • Also see a classic, Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks
    • Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages
    • The Software Supply Chain Security Threat Landscape dispatches from Checkmarx are often fresh reading
    • ossf/oss-compromises: Archive of various open source security compromises
    • Python-specific example: Bad actors vs our community: detecting software supply chain... by Ajinkya Rajput and Ashish Bijlani
    • A comprehensive all rounder: Protect Yourself Against Supply Chain Attacks - Rob Bos - NDC Security 2022
    • Not supply chain security specific, but worth tracking: PayDevs/awful-oss-incidents: ? A categorized list of incidents caused by unappreciated OSS maintainers or underfunded OSS projects. ยินดีต้อนรับข้อเสนอแนะ!
  • Improving TOFU (trust on first use) With Transparency
  • Reports:
    • 2022 State of Cloud Native Security Report - Palo Alto Networks
    • 2022 Software Supply Chain Security Report • Anchore
  • End-to-end demos and examples:
    • goreleaser/supply-chain-example: Example goreleaser + github actions config with keyless signing and SBOM generation
    • Improve supply chain security with GitHub actions, Cosign, Kyverno and other open source tools
  • Using SARIF to Extend Analysis of SAST Tools
  • GitLab's Software Supply Chain Security section
    • Also read GitLab's Software Supply Chain Security Direction
  • GitHub's SARIF support for code scanning
  • Driving Developer Productivity via Automated Dependency Tracking
  • Code scanning finds more vulnerabilities using machine learning
  • Securing Open Source Software at the Source
  • Security: The Value of SBOMs
  • Why SBOMS & Security Scanning Go Together - Upstream: The Software Supply Chain Security Podcast presented by Anchore
  • SBOMs in the Windows Supply Chain, from the SPDX User Group
  • Whose Sign Is It Anyway? - Marina Moore, NYU & Matthew Riley, Google
  • Binary Authorization for Borg: how Google verifies code provenance and implements code identity
  • Application Security Weekly (Video) on Apple Podcasts
  • How to prioritize the improvement of open source software security
    • And Strengthening digital infrastructure: A policy agenda for free and open source software
  • Software Supply Chain Security Turns to Risk Mitigation
  • Reproducible Builds: Increasing the Integrity of Software Supply Chains
  • sigstore/community: General sigstore community repo
  • CycloneDX Use Cases
    • Listen: #6: Steve Springett: CycloneDX and the Future of SBOMs - Cybellum
  • Building a Sustainable Software Supply Chain, particularly the section: "The Software Supply Chain Sustainability Maturity Model"
  • Dependency Issues: Solving the World's Open Source Software Security Problem offers a well meditated view on the problem space as well
  • The Digital Economy Runs on Open Source. Here's How to Protect It (HBR)
  • Report: 95% of IT leaders say Log4shell was 'major wake-up call' for cloud security
  • Presentation: Securing the Open Source Software Supply Chain at PyConUS2022 by Dustin Ingram
  • Watch: The state of open source security in 2022 with Kurt Seifried
  • Podcast: Kubernetes Podcast from Google: Episode 174 - in-toto, with Santiago Torres-Arias
  • EO 14028 and Supply Chain Security
  • Reducing Open Source Risk Throughout the Development, Delivery and Deployment of SBOMs, a May 2022 paper illustrating at a high level the differences between SBOMs in publishing, distribution and delivery scenarios; see pages 6-9
  • Open Source Security Foundation (OpenSSF) Security Mobilization Plan
  • Not Just Third Party Risk
  • Open Source Security: How Digital Infrastructure Is Built on a House of Cards
  • Series: Bootstrapping Trust Part 1 covering encryption, certificates, chains and roots of trust
  • Contact sign-up sheet required: The Rise of Continuous Packaging by Cloudsmith and O'Reilly
  • Supply Chain Security for Cloud Native Java (from Thomas Vitale)
  • Podcast: It Depends with Trail of Bits
  • New security concerns for the open-source software supply chain (top level findings from The State of the Software Supply Chain: Open Source Edition 2022)
  • Software Supply Chain Primer v0.93 (June 2022)
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด