awesome software supply chain security

軟件供應鏈安全域中資源的彙編，重點是開源。

• 令人敬畏的軟件 - 供應鏈 - 安全性
  • 關於此列表
  • 依賴智能
    • SCA和SBOM
    • 脆弱性信息交換
  • 使用點驗證
    • 圖書館以外的供應鏈
  • 身份，簽名和出處
  • 框架和最佳實踐參考
  • 建立技術
  • 會談，文章，媒體報導和其他閱讀
    • 入門並保持新鮮

該領域沒有規定的分類學。該列表必須與DevSecops，Sast，SCA等學科和類別有一些重疊。

供應鏈合成的存儲庫提供了有關為什麼是這種情況的長期閱讀，並隨著演變而了解和導航的有用指針。

對於awesome-software-supply-chain-security我們採用以下高級方法：供應鏈中的不同演員為鏈中代表的元素做出了證明。

在這種以過程為中心的觀點中，發出證明，增強（例如，在組成期間）並進行了驗證。

喬什·布雷斯斯（Josh Bressers）在這裡描述了另一種看待這一點的方法，這是Spotify的野外敘述

使用這些鏡頭，我們可以識別大量的“主題”（依賴性），“事實”（許可或脆弱性）的不同類別以及身份，出處和建築系統的具體作用。這是當前標題背後的基本原理，預計將隨著域而發展。

定義該域的正在進行的過程的其他示例包括添加不良設計作為供應鏈方案·問題＃249·SLSA-FRAMEWORK/SLSA，SLSA如何適合更廣泛的供應鏈安全？ ·問題＃276·SLSA-FRAMEWORK/SLSA。從Aeva Black和Dan Lorenc查看此推文，以獲取另一個關鍵項目的另一個觀點。

本節包括：軟件包管理，庫管理，依賴管理，供應商依賴關係管理，劃界搜索，軟件包，圖書館和依賴項命名，庫行為標籤，圖書館出版，註冊表和存儲庫，發布門和掃描，依賴性生命週期。

• 開源見解
• GUACSEC/GUAC：GUAC將軟件安全元數據匯總到高保真圖形數據庫中。
• 包裝 - url/purl-spec：purl aka的最小規範。一個軟件包“主要是通用” URL，在https://gitter.im/package-url/lobby上加入討論
• 在線服務有助於了解特定依賴性是什麼，或者至少是已知的（通常將其餵食包裝標識符，例如purl ，CPE或其他形式的ecosystem:name:version或通過Hash）：
  • NSRL：COTS軟件的哈希，從Sleuthkit/Hfind到Nsrllookup的工具整合
  • 可以通過公共API查詢的來源（HTTP和DNS！），並且可以更開源感知是Circl Hashlookup
  • Repology在多個分佈中對Linux軟件包具有傳奇的覆蓋範圍；它的重複學院和其他基礎設施是開源的。它為Wikidata提供了更新程序，該更新機還具有供應鏈安全域的感興趣的屬性。
  • Debian的外部存儲庫元數據
  • Tidelift的Libraries.io提供API，並支持30多個軟件包生態系統（以及幾種有用的開源工具）
  • Whitesource的統一代理還提供了一些複雜的文件匹配能力
  • 軟件遺產項目具有大量的攝入功能，並提供了一個API，可以有效檢查是否已知哈希，並在文件上提供某些信息（如果是這樣）
    • 另請參閱SWH掃描儀CLI
  • hashdd-已知的良好加密哈希
  • 鑑於其坐標，明確定義為開源組件提供許可信息
  • LGTM-查找和防止漏洞的代碼分析平台允許通過GitHub Repo手動搜索
  • 二進制透明度目錄提供了一個API，允許通過哈希搜索包和其他屬性搜索軟件包
    • 與CloudFlare如何驗證Code WhatsApp Web為用戶驗證的下半部分是一個相關的讀取。
    • 和子資源完整性
    • 不要與二進制透明度的傳奇閱讀混淆
• 對於獲取的輸入，例如，通過curl ：
  • Spectralops/Preflight：前飛行前可幫助您驗證腳本和可執行文件，以減輕諸如最近的Codecov Hack之類的供應攻擊鏈。
  • apiaryio/curl-trace-parser：curl-trace選項輸出的解析器
    • 捲曲跟踪驗證者·發行＃139·
  • 朋友不要讓朋友捲曲| bash
    • 以及非常有趣的使捲曲| bash和其他野生物品的包裝。 jordansissel·拉動請求＃1957·Jordansissel/fpm
  • 法爾科
  • Aquasecurity/Tracee：使用EBPF的Linux運行時安全性和取證
  • feenInetools/bane：用於Docker容器的自定義和更好的Apparmor配置文件生成器。
  • 容器/OCI-Seccomp-BPF鉤：OCI鉤子跟踪Syscalls並生成Seccomp配置文件
  • Bottlerocket-OS/HotDog：HotDog是一組OCI鉤子，用於將Log4J熱貼劑注入容器中。
• DeepFence/theantMapper：開源雲本機安全可觀察性平台。 Linux，K8S，AWS Fargate等。
• 依賴性檢查
• OSSF/軟件包 - 分析：開源軟件包分析和OSSF/軟件包饋線：語言軟件包管理器更新的feed解析
  • 相關：介紹包分析：掃描開放源代碼包的惡意行為
  • 同樣，ARGO安全自動化具有OSS-Fuzz，通過模糊CNCF景觀和Google/Oss-Fuzz來提高安全性：OSS-FUZZ-連續模糊開源軟件。
  • 和clusterfuzzlite
  • for Node.js：codeintelligenceTesting/jazzer.js：覆蓋範圍引導的，程序中的for node.js
  • 另外，儘管可以說，在應用程序可觀察性領域，Intellabs/Control-Flag：一個系統通過從培訓數據中學習典型表達式來標記異常源代碼表達式的系統
• Abhisek/Supply-Chain-Security-Gateway：參考架構和供應鏈安全概念實現的證明
• CUGU/GOCAP：列出您的依賴項功能，並監視更新是否需要更多功能。
• MATE：具有代碼屬性圖的交互式程序分析，請參見Galoisinc/Mate：Mate是一套用於交互式程序分析的工具，專注於使用代碼屬性圖和文檔中的C和C ++代碼中的錯誤狩獵
• CheckMarx/ChainaLert-Github-action：在掃描流行的軟件包和警報時，有人懷疑帳戶收購
• 開源安全基金會（OPENSSF）Alpha-Omega項目
• 插座 - 查找並比較數百萬個開源軟件包，重點是JavaScript
• 分散鏡：對文件，檔案和目錄的深入比較
• Redhatproductsecurity/組件註冊：組件註冊表（CORGI）匯總了Red Hat支持的產品，託管服務和內部產品管道服務的組件數據。
• 由TIDB Cloud提供動力的OSS Insight是一種洞察力工具，可以幫助您深入分析任何單個GitHub存儲庫/開發人員，使用相同的指標比較任意兩個存儲庫，並提供全面，有價值的，有價值的和趨勢的開源源見解。
• 宣布FOSSA風險情報的私人Beta
• 來自項目|軟件透明基金會，請參閱OSSKB |免費開源庫存
  • 特別是：scanoss.py/package.md在main·scanoss/scanoss.py
• 工件樞紐，包含包裝安全報告，並通過cosign驗證
• crt.sh |證書搜索
• GREP.App |代碼搜索
• GitHub代碼搜索
• 搜索碼|源代碼搜索引擎
• SourceGraph的SourceGraph
• 開源樞紐上的板載開源貢獻者，請參閱Codesee中的Docker-Slim示例
• SNYK的代碼檢查器
• 開始 - 福斯科
• CVE-Search/git-vuln-finder：從GIT提交消息中查找潛在的軟件漏洞
• Chaoss/Augur：Python圖書館和Web服務，用於開源軟件健康與可持續性指標和數據收集。您可以在此處輕鬆找到我們的文檔和新貢獻者信息：https：//chaoss.github.io/augur/並在我們的網站https://augurlabs.io中了解有關Augur的更多信息。
• IBM/CBOM：密碼學法案
• appthreat/blint：Blint是一個二進制林格，用於檢查安全性屬性和可執行文件中的功能。它由Lief提供動力。

另請閱讀：

• taptuit/Awesome-devsecops：策劃最佳的DevSecops資源和工具。
• 閱讀：輪廓：二進制透明度的實用系統
• 幾個有趣的概念：Shopify/Seer-Protype：安全專家啟發風險

本節包括：軟件包/庫掃描儀和檢測器，SBOM格式，標準，創作和驗證以及一些應用程序。可能包括SCA。

最完整的參考是Awesomesbom/Awesome-Sbom。另一個專注於發電機的回購是Cybeats/SBOMGEN：SBOM生成工具列表。

• Gitbom
  • 另外：git-bom/bomsh：bomsh是探索Gitbom想法的工具的收集
  • yonhan3/gitbom-repo：gitbom文檔的存儲庫Linux二進製文件
  • 聽：Gitbom。它不是git或sbom和gitbom：重新利用供應鏈安全性和透明度的git圖
  • 另請參見Main·DPP/Bomsage的Bomsage/Vision.md，Master·PKGConf/PKGConf（此線程中的更多信息）
• NEXB/scancode-toolkit：Scancode檢測許可，版權，軟件包表現和依賴項以及更多通過掃描代碼...發現和庫存開源和代碼中使用的第三方包裝。
• OWASP的SCA工具列表本身就是全面的
• Grafeas：組件元數據API
• TrailofBits/IT依賴性：一種用於自動構建依賴關係圖和軟件材料清單（SBOM）的工具，用於軟件包和任意源代碼存儲庫。
• 修改SCA SBOM，修補螺栓：查找和修復開源漏洞和Whitesource Renovate：自動化依賴性更新
  • RenovateBot/Renovate：適合您工作流程的通用依賴性更新工具。
    • 另請閱讀用例 - 翻新文檔
• JFrog XRAR-通用組件分析和容器安全掃描
• 依賴關係/依賴關係 - 軌道：依賴關係 - 軌道是一個智能組件分析平台，允許組織識別和降低軟件供應鏈中的風險。
  • 很好地閱讀依賴性軌道
• OSS-REVIEW-TOOLKIT/ORT：一套工具，可幫助審查開源軟件依賴性。
• 錨/隔離：CLI工具和庫，用於從軟件供應鏈安全解決方案中從容器圖像和文件系統中生成軟件材料清單•錨
  • 另請注意：New docker sbom命令使用隔離創建SBOM
  • 使用隔離和sigstore創建SBOM證明
  • 簡單流程：主要·Marco-Lancini/Utils的UTILS/CI/GITHUB/DOCKER-BUILD-SIGN-SIGN-SIGN-SIGN-SIGNS
• 宣布：掃描現在處於維護模式·發行＃352·shiftleftsecurity/sast-scan
• 容器安全| Qualys，Inc。
• Aqua Cloud本地安全性，容器安全和無服務器安全性
• Tern-Tools/Tern：Tern是一種軟件組成分析工具和Python庫，可為容器圖像和Dockerfiles生成軟件材料清單。 Tern生成的SBOM將以各種格式，包括人類可讀，JSON，HTML，SPDX等，使您可以逐層視圖對您的容器內部的內容。
• 該推文中的Master·rjb4標準/rea-rododucts/re-products/c-scrm使用案例
  • 另請參閱能源SBOM的概念證明-INL
• 門分析PR作用：GitHub行動，分析了對門的開源供應鏈問題的拉力請求|軟件供應鏈安全公司
• Microsoft/組件檢測：掃描您的項目以確定您使用的組件
• 矮5標準
• 軟件標識（SWID）標記| CSRC和創建可互操作軟件標識（SWID）標籤的準則
• 簡潔的軟件標識標籤
• Hughsie/Python-Uswid：用於嵌入coswid標籤的小工具
  • 另請參閱線程
    • 和Coreboot中的實際示例
• ckotzbauer/sbom-operator：分類kubernetes群集的所有圖像to syfts to多個目標
• Dynatrace應用程序安全性安全性安​​​​全
• 缺陷/django-defectdojo：缺陷是DevSecops和漏洞管理工具。
  • 與樣本集成的令人印象深刻的列表：缺陷/示例掃描文件：用於測試缺陷導入的示例掃描文件
• Swingletree-oss/swingletree：整合併觀察CI/CD管道工具的結果
• Mercedes -Benz/sechub：Sechub-一種與一個API/客戶端一起使用不同安全工具的中心和簡便方法
• Marcinguy/BetterScan -CE：代碼掃描/SAST/靜態分析/用許多工具/掃描儀與一份報告（代碼，IAC） - BetterScan社區版（CE）
• BBVA/Susto：系統的通用安全測試編排
• Appthreat/Rosa：到目前為止看起來非常有前途的實驗。
• 窩的SBOM解決方案
• Rezillion動態SBOM
• OpenSBOM生成器/SPDX-SBOM生成器：通過Golang工具支持CI SBOM的生成。
• Tauruseer的SBOM工具
• SOO的支持語言和清單
• 堡壘：軟件材料清單
• Javixeneize/Yasca：又是SCA工具
• Cybeats SBOM工作室
• Edgebitio/Edgebit-build：GitHub動作將SBOM上傳到Edgebit並在您的拉動請求中接收漏洞的上下文 - 實時供應鏈安全，使安全團隊能夠達到目標並協調脆弱性補救，而無需勞作。
• Rea的軟件保證監護人Point Man（SAG-PM）
• Microsoft/SBOM-Tool：SBOM工具是一種高度可擴展的企業現成工具，可為任何各種文物創建SPDX 2.2兼容SBOM
• VeraCode的SCA自動掃描，請參見演示：如何使用VeraCode軟件組成分析生成軟件材料清單（SBOM）
• 企業版-Blubracket：代碼安全與秘密檢測
• 軟件組成分析（SCA）|塞伯雷斯
• Nexus Intelligence -Sonatype數據服務
• AppThreat/dep-Scan：基於已知漏洞和諮詢的項目依賴性的完全開源安全審核。支持本地存儲庫和容器圖像。與各種CI環境（例如Azure Pipelines，Circleci，Google Cloudbuild）集成。無需服務器！
• SBS2001/FATBOM：FATBOM（脂肪材料清單）是一種將各種工俱生成的SBOM結合到一個脂肪SBOM中的工具。因此利用每個工具的強度。
• Sonatype BOM醫生
• JHUTCHINGS1/SPDX-TO依賴性圖形：一種gitHub操作，將SPDX SBOMS並將其上傳到GitHub的依賴項提交API上，以供電
  • 另請參閱：EVRYFS/SBOM依賴性 - 求職：將SBOM提交給GitHub的依賴項提交API
  • 和依賴性提交文檔
• TAP8STRY/ORION：超越SBOM的軟件包管理器發現
• Patriksvensson/Covenant：從源代碼文物中生成SBOM（軟件材料法案）的工具。
• Cyclonedx/cyclonedx-webpack-plugin：在編譯時從WebPack捆綁包中創建Cyclonedx材料清單（SBOM）。
• 高級安全/GH-SBOM：用GH CLI生成SBOM
• Interlynk -io/sbomqs：SBOM質量得分 - SBOMS的質量指標
• eBay/SBOM-SCORECARD：為您的SBOM生成一個分數，以了解它是否真的很有用。

更多有趣的資源：

• 制動安全播客：2020-031-Allan Friedman，SBOM，軟件透明度，並知道如何製作香腸
• 第312集：SBOM的傳奇
• 重新構想網絡播客：log4j漏洞提供了未知依賴性的苛刻課程
• 技術債務燃燒播客系列1 E11：Allan Friedman和SBOMS
• SOUNIL YU在SBOMS上，軟件供應鏈安全性 - 安全對話
• 探索安全性。 SBOM的批判性。斯科特·麥格雷戈（Scott McGregor），雲安全，風河
• 在安全性Rabbithole播客中，DTSR第487集 - 軟件供應鍊是BFD
• 軟件組成分析播客：軟件供應鏈 - 第1集
• 關鍵更新：您知道軟件中有什麼嗎？
• 軟件材料清單| CISA
• SBOM用例-RKVST和RKVST SBOM HUB -RKVST
  • 另請閱讀：SBOM HUB -NTIA屬性映射
• BOF：用於嵌入式系統的SBOM：什麼是有效的，什麼無？ -Kate Stewart，Linux基金會
• 關於那個bom的一切
• OWASP CYCLONEDX啟動SBOM Exchange API
• 閱讀：SBOM管理|它阻止SBOM蔓延的六種方式
• 閱讀：NTIA是軟件材料清單的最低要素
• 閱讀：SBOM可以為您做什麼

一些開源項目在公開場合記錄了他們如何獲得依賴性。這個有意的，人性化的，長期的例子可以說明：

• Envoy/distionency_policy.md在Main·EnvoyProxy/Envoy
• 捲曲對依賴的期望
• 安全：SBOM的價值來自磁通量

• OSV
  • 閱讀：行動中的SBOM：使用軟件材料清單查找漏洞
  • 相關：SPDX/SPDX-TO-OSV：基於SPDX文檔中的信息生成開源漏洞JSON文件
  • 工具：Google/OSV-SCANNER：用GO編寫的漏洞掃描儀使用https://osv.dev提供的數據
• Qualys的脆弱性檢測管道
• vuls·Linux/freebsd的無代理漏洞掃描儀
• 漏洞數據庫，也可以使用API​​；請參閱vuldb
• appthreat/bulenerability-db：漏洞數據庫和軟件包搜索源，例如OSV，NVD，GITHUB和NPM。
• Aquasecurity/Trivy：容器圖像，文件系統和GIT存儲庫中漏洞的掃描儀以及配置問題
• SAST用於代碼安全| SNYK代碼
  • 另請參閱：從Snyk選擇開源庫
• 對比社區版
• 已知的利用漏洞目錄| CISA
• CVE-Search/CVE-Search：CVE-Search-執行本地搜索已知漏洞的工具
• 外來-IO/KEPLER：基於NIST的CVE查找商店和由Rust提供動力的API
• NEXB/vlynerablecode：一種用於免費開放漏洞數據庫及其影響的軟件包的過程中。以及匯總和關聯這些漏洞的工具。由nlnet https://nlnet.nl/project/project/vulnerabilitydatabase/ https://www.aboutcode.org/ https://gitter.im/gitter.im/about.im/aboutcode-orgotcode-orgecode-orgecode-orgecode-orgotcode-org ot https://nlnet.nl/project/project/vulnerabilitydatabase/
• Toolswatch/vfeed：相關的CVE漏洞和威脅智能數據庫API
• OSSF/記分卡：安全記分卡 - 開源的安全健康指標，OpenSSF指標和OSSF/Security -Reviews：開源軟件組件的安全評論社區集合。
  • OSSF/記分卡 - 行動：OSSF記分卡的官方GitHub行動。
    • 注意：Openssf記分卡的GitHub Action V2 Action如何使用Sigstore使用GitHub OIDC
  • 還可以開開Security Insights Spec
  • 閱讀：OpenSSF記分卡如何幫助評估開源軟件風險
  • 偉大的現實生活示例：Eclipse Foundation GitHub存儲庫
• Lynis- Linux/UNIX的安全審核和硬化工具
• 受害者/受害者CVE-DB：CVE數據庫商店
• Anchore/Grype：容器圖像和文件系統的漏洞掃描儀
  • 另請參閱使用Grype來識別GitHub動作漏洞
  • 現在，Grype現在支持Cyclonedx和SPDX標準
• GitHub諮詢數據庫現在向社區貢獻開放
• 全球安全數據庫工作組| CSA，另請參閱CloudSecurityAlliance/GSD數據庫：全局安全數據庫
• Trickest/CVE：收集並更新所有可用的CVE和最新的CVE。
• RFC 9116：一種文件格式，以幫助安全漏洞披露
• AOSP漏洞練習：Quarkslab/aosp_dataset：基於AOSP CVE的大型提交精確漏洞數據集
  • 提交級別的漏洞數據集
• Nyph-Infosec/匕首
• Davideshay/vulnscan：基於Grype和Sixft的脆弱性掃描儀套件
• DevOps-Kung-Fu/bomber：SCANS SBOMS for SECurity漏洞
• 堡壘：脆弱性管理
• 脆弱性管理| Adolus
• SECVISOGRAM/SECVISOGRAM：SECVISOGRAM是用於在CSAF 2.0格式中創建和編輯安全諮詢的網絡工具
• Future-Architect/vuls：Linux，FreeBSD，Container，WordPress，編程語言庫，網絡設備
• Infobyte/faraday：FARADAY的開源漏洞管理平台 - 社區V4版本
• MITER/SAF：MITER安全自動化框架（SAF）命令行接口（CLI）將MITER和Security Community開發的應用程序，技術，庫和工具匯集在一起​​，以簡化系統和DevOps管道的安全自動化
• DevOps-Kung-Fu/bomber：掃描軟件材料清單（SBOMS）的安全漏洞
• REZILION/MI-X：通過考慮影響實際可剝削性的所有因素（運行時執行，配置，權限，緩解措施，OS等的存在），確定您的計算是否真正容易受到特定漏洞的影響。
• OSSF-CVE基準/OSSF-CVE基準：OPENSF CVE基準由代碼和元數據組成，用於200多個現實生活CVE，以及使用各種靜態分析安全測試（SAST）工具（SAST）工具和生成報告來評估這些工具。
• 請參閱Neuvector文檔中的脆弱性管理，以獲取集成示例在容器方案中
• NOQCKS/XEOL：容器圖像，系統和SBOM的壽命末（EOL）軟件包掃描儀
• MCHMARNY/VIMP：比較來自多個漏洞掃描儀的數據，以更完整地了解潛在的暴露。

關於Vex的專用部分，讀取：

• Cyclonedx-脆弱性可利用性交換（VEX）
  • 解釋了脆弱性可利用性交換：vex如何使SBOMS可起訴
  • Vex如何幫助SBOM+SLSA提高供應鏈可見性| Google雲博客
  • 什麼是煩惱，與SBOM有什麼關係？
  • 什麼是vex？這是脆弱性可利用性交換！
  • 脆弱性可利用性交換（VEX）標準
  • vex和sboms
  • VDR或VEX - 我使用哪個？第1部分
  • 煩惱！或...如何通過一個簡單的技巧來減少CVE噪音！弗雷德里克·考茨（Frederick Kautz）
  • 脆弱性可利用性交換（VEX） - 狀態理由
• 實時煩惱

另請參閱：

• 棄用路徑上的vulncode-db
• GitHub為Rust社區帶來了供應鏈安全功能
• Cycognito採用映射ATT＆CK進行CVE造成影響
• 閱讀：仔細查看CVSS分數，補丁瘋狂：供應商undsusion被打破，破壞了，並且不完整地查看漏洞數據庫和評分方法論
• 閱讀：如何分析SBOM以及如何從Cloudsmith生成和主機SBOM
• 閱讀：在Google的開源見解團隊的諮詢之後

本節包括：入學和攝入策略，拖拉時間驗證和最終用戶驗證。

• kyverno
  • 閱讀：用kyverno證明圖像掃描
    • 和：將kyverno政策作為OCI文物，並帶有Ocirepository來源
  • 另外：tistifysec/judge-k8s：使用證人證明驗證庫的概念證明kubernetes錄取控制器
• ckotzbauer/sbom-operator：分類kubernetes群集的所有圖像to syfts to多個目標
• Connaisseur-驗證Kubernetes中的容器圖像簽名
• SIGSTORE/Policy-Controller：用於在Cosign的可驗證的供應鏈元數據集群上執行策略的政策入學控制器。
  • 另請參閱：Lukehinds/Policy-Controller-Demo：與Sigstore Kubernetes策略控制器的無鑰匙簽名演示
• Main·IBM/Portieris的Portieris/policies.md
• 可重現的容器/repro-get：可重複的apt/dnf/apk/pacman，帶有內容addressing
• kpcyrd/pacman-bintrans：與Sigstore和Rekor的Pacman實驗性二元透明度
  • 另請參閱：kpcyrd/apt-swarm：？ P2P八卦網絡用於更新透明度，基於PGP？
• 開放政策代理
• Conftest允許使用“開放策略代理”查詢語言對結構化配置數據進行編寫測試：這是一個示例
• 幾個預加入鉤子允​​許在依賴攝入時間攝入代碼庫之前立即檢查漏洞
  • 例如，PYUPIO/安全：安全檢查您的已知安全漏洞的依賴項
    • 或NPM審核
      • 另請參見Snyk-Labs/SNYNC：減輕依賴混淆供應鏈安全風險的安全問題
      • 和lirantal/lockfile-lint：lint npm或紗線鎖緊列來分析和檢測安全問題
    • 或需要。 IO|監視您的依賴項
    • 或Brakeman安全掃描儀
    • 或trailofbits/pip-audit：審核Python環境和依賴樹的已知漏洞
      • 另請參閱：依賴關係警報立即浮出水面，如果您的代碼正在調用漏洞
      • 和：使用Data-Dist-Info-Metadata（PEP 658）將分辨率分解為Cosmicexplorer下載
    • 有趣的Python相關項目：Thoth Project，使用人工智能分析和推薦Python應用程序的軟件堆棧
    • 或CheckMarx/Chainjacking：查找您的哪個Go Lang Direct GitHub依賴性容易受到鏈接派對的影響
    • 或貨物獸醫和CREV-DEV/CARGO-CREV：貨物（Rust）軟件包管理器的密碼可驗證的代碼審核系統。
    • 不是自動驗證，而是針對Java的全面指導，具有與供應鏈安全有關的一些關鍵點：Google的Java庫最佳實踐
• 在此階段，通常使用靜態分析，以檢測依賴性的獲取，例如：
  • semgrep
    • Semgrep供應鏈入門
    • 另請參閱：使用SEMGREP捕獲安全漏洞
  • 大師的graudit/簽名·Wireghoul/Graudit
  • Banyanops/collector：用於靜態分析碼頭容器圖像的框架
  • 碼頭/克萊爾：容器的脆弱性靜態分析
  • Datadog/GuardDog：GuardDog是識別惡意PYPI和NPM軟件包的CLI工具
  • Eliasgranderubio/dagda：對Docker Images/Containser中的已知漏洞，特洛伊木馬，病毒，惡意軟件和其他惡意威脅進行靜態分析的工具，並監視Docker守護程序和運行Docker容器以檢測異常活動
    • 一半輝煌，一半有趣，充分有用：kpcyrd/libredefender：想像信息安全合規指南表示您需要防病毒，但您運行Arch Linux
  • KICS - 確保基礎架構為代碼安全
  • Tinkerbell/lint-Antall：始終為開源項目安裝合理的Linter規則
  • 有關包裝安裝的hadolint規則，例如，Hadolint/readme.md，D16F342C8E70FCFFC7A788D122ABA60202075250D·Hadolint/Hadolint
    • 另外，Dockerfile資源掃描 - 從Bridgecrewio/Checkov進行檢查：防止在Terraform，CloudFormation，Kubernetes，無服務器框架和其他基礎架構AS-Code-Language的構建時間，bridgecrew by Checkov。
    • 和：XLAB-SI/IAC-SCAN-RUNNER：掃描基礎架構作為常見漏洞的代碼的服務
    • 和：aws-samples/自動 - 安全性 - 赫爾珀1
• 脆弱性評估| OpenScap門戶
• 用wazuh檢測log4shell
• Aquasecurity/Antboard：Kubernetes-Native Security Toolkit
  • 開始使用Kubernetes安全和右舷
• Armosec/kubescape：Kubescape是K8S開源工具，可提供多雲的K8S單窗格，包括風險分析，安全合規性，RBAC可視化器和圖像漏洞掃描。
  • 另外：Kubescape Visual Studio代碼擴展
• ckotzbauer/漏洞 - 操作員：掃描SBOMS漏洞
• Chen-Keinan/Kube-Beacon：K8S群集的開源運行時掃描儀，並根據CIS Kubernetes基準規範執行安全審核檢查
• Aquasecurity/Kube-Bench：檢查Kubernetes是否根據安全性最佳實踐部署，如CIS Kubernetes基準和Aquasecurity/Kube-Hunter：Hunt Kubernetes clusters clusters clusters clusters in kubernetes基準/kube-hunter。
• OpenClarity/kubeclarity：kubeclarity是用於檢測和管理軟件材料清單（SBOM）（SBOM）和容器圖像和文件系統漏洞的工具
• Stackrox/Stackrox：Stackrox Kubernetes安全平台對容器環境進行風險分析，提供可見性和運行時警報，並提供建議，以通過硬化環境來主動提高安全性。
• CloudQuery/plugins/source/k8s/policies in Main·CloudQuery/CloudQuery
• Quarkslab/kdigger：用於滲透測試的Kubernetes集中的容器評估和上下文發現工具
• ossillate-inc/packJ：我們大規模安全分析平台背後的審核工具，以檢測惡意/風險的開源軟件包和PackJ |避免“風險”軟件包的審核工具
• Doowon/sigtool：用於簽名的PE文件的Sigtool
• 引入“安全NPM”，插座NPM包裝器 - 插座
• 介紹SafeDep獸醫| Safedep

另請參閱：

• 分析工具-DEV/靜態分析：用於所有編程語言，配置文件，構建工具等的靜態分析（SAST）工具的策劃列表。
• Anderseknert/Awesome-Opa：與OPA相關工具，框架和文章的精選列表
• jupiterone/secops-automation-examples：有關如何將安全/合規性作為代碼保持和使用jupiterone平台自動化的示例。
  • 我們如何使用Cyclonedx生成軟件材料清單（SBOM）
• 用stackrox / rhacs和sigstore確保CICD管道
• 觀看：您信任您的軟件包經理嗎？在2022年安全節

以及除圖書館和軟件依賴性以外的幾件事：

• 系統透明度|裸金屬服務器的安全體系結構
• 模擬FWUPD中的主機配置文件
• gnome警告用戶如果禁用安全啟動，請準備其他固件安全幫助
• 內核自我保護項目 - Linux內核安全子系統
• 鑰匙扣 /鑰匙扣：一個CNCF項目，用於引導和維護邊緣 /雲和物聯網的信任
• AlallaxSecond/Parsec：安全服務的平台抽象
• TPM CARTE BLANCHE的引導證明

本節包括：針對開發人員身份，OIDC，鑰匙扣和相關主題的項目和討論細節。

• Sigstore的一部分
  • cosign
  • Fulcio
  • Rekor
  • 另請參閱：kubernetes攻擊sigstore to tot thwart開源軟件供應鏈攻擊
  • OpenSSF景觀的特定特定景點
• CAS- CAS認證服務
• 見證人 - tistifysec/證人：證人是軟件供應鏈風險管理的可插入框架。它可以自動化，歸一化和驗證軟件人工製品出處。
  • 觀看：與證人確保供應鏈-Cole Kennedy，tistifysec
  • 另請參閱：tistifysec/go-ima：go-ima是檢查文件是否已篡改的工具。這對於確保CI系統的完整性很有用
• PUERCO/TEJOLOTE：高度可配置的構建執行者和觀察者，旨在生成有關構建運行的簽名SLSA出處證明。
• 勢力運行 - github市場和触發/github-action：toto intoto formentagn github Action
• SLSA3通用發電機的一般可用性用於GitHub操作
  • slsa-framework/slsa-github-generator：github動作的語言 - 敏捷SLSA出處
  • 另請參閱：認證手工藝| Chainloop文檔
• Technosophos/Helm-gpg：使用GNUPG簽名和驗證掌舵。
• CashApp/Pivit是用於管理帶有PIV Applet支持的X509證書的命令行工具，該證書與git完全兼容
• NotaryProject/Notary：公證人是一個允許任何人對任意數據收集的信任的項目
  • NotaryProject/路線圖：NotaryV2的路線圖
  • NotaryProject/note法：符號是一個項目，可以在註冊表生態系統中添加簽名作為標準項目，並構建一組簡單的工具，用於簽名和驗證這些簽名。基於公證人V2標準。
  • NotaryProject/TUF：OCI註冊機構的更新框架
    • 另請參閱VMware-LABS/repository-editor-for-TUF：用於編輯和維護TUF存儲庫的命令行工具
    • 另請查看如何輕鬆嘗試TUF + In-Toto
    • 查看Python-TUF訪問1.0.0版
    • 相關項目：WERF/TRDL：從受信任的更新框架（TUF）存儲庫安全地交付軟件更新的通用解決方案。
    • 閱讀：通過TUF的安全軟件更新 - 第2部分
• Deislabs/批准：工件批准框架
• 閂鎖/唐：唐·綁定守護程序
• IETF-大鼠 - 概述
• 暴露的公共簽名密鑰以及如何提高APT安全性
• 請參閱第21條·示意/見證人，以簡要地描述如何證明詞/見證人：證人是軟件供應鏈風險管理的可插入框架。它可以自動化，歸一化和驗證軟件偽像普羅維登斯。處理認證鏈
  • Gitlab的另一個見證人
• 允許使用SSH鍵簽名·討論＃7744·github/反饋
• AWS分解/可驗證控制店 - 先進商店：此存儲庫包含可驗證的控制控制證據存儲解決方案的源代碼
• 閱讀：監視kernel.org透明度日誌一年
• 另請閱讀：軟件分配透明度和可審核性
• Paragonie/libgossamer：WordPress和Packagist的公共密鑰基礎架構
  • 閱讀：解決PHP生態系統的開源供應鏈安全
• 約翰遜/圖像層提供，圖像層出處和明顯層歷史的POC
• ORAS項目/文物規格
• 食譜/食譜：在Python中記錄出處的毫無用處的方法
• Spiffe/Spire：Spiffe運行時環境
• Fraunhofer-Sit/Charra：使用TPM 2.0的遠程證明過程的IETF大鼠參考互動模型的“挑戰/響應遠程證明”相互作用模型的概念證明實現。
• Google/Trillian：一種透明，高度可擴展性和密碼可驗證的數據存儲。
• 文物 - 通用偽像管理
• 比林/比林：分散的包裝網絡
• Transmute-Industries/可驗證的操作：用於分散的標識符和可驗證憑據的工作流量工具
• 觀看：隱私保護透明度日誌的方法

本節包括：供應鏈攻擊和新興類別的參考架構和權威彙編。

• in-toto |確保軟件供應鏈完整性的框架
• 軟件工件或SLSA（SALSA）的供應鏈水平是安全框架，是標準和控件的檢查清單，可防止您的項目，企業或企業中的啟動，提高完整性以及安全的軟件包和基礎架構。
  • 很棒的閱讀：SLSA | CloudSecdocs
  • 另一個L50讀：與SLSA建立我們軟件供應鏈的信任
  • 閱讀：SLSA成功：使用SLSA幫助實現NIST的SSDF以及所有基礎（線）：網絡安全框架如何隨著基礎指導而發展
    • 此外，由紅色帽子整理的框架映射
  • FOSSA的SLSA框架的實用指南
  • 閱讀：使用SLSA確保GitPod的軟件供應鏈
  • 閱讀：在GitHub上獲得SLSA 3級的第一步
  • 以及在GitHub上進行的模式搜索以尋求靈感（謝謝@InferNosec）
• OWASP應用程序安全驗證標準，特別是V14-配置
• OWASP/軟件庫存驗證標準：軟件組件驗證標準（SCVS）
• 波峰啟動OWASP驗證標準（OVS）
• Safecode針對安全軟件開發的基本實踐，第三版，特別是。管理使用第三方組件固有的安全風險
• SSF |安全的軟件工廠和MLIEBERMAN85/供應鏈審查
  • 相關：Kubernetes供應鏈安全的地圖
• 軟件供應鏈風險管理| BSIMM
• Microsoft/Scim：供應鏈完整性模型
  • 另請參閱：供應鏈完整性，透明度和信任（SCITT），什麼是SCITT
• 再見SDLC，您好SSDF！什麼是安全的軟件開發框架？
  • 還符合NIST的安全軟件供應鏈框架和Gitlab
• SP 800-53 Rev. 5的供應鏈風險管理部分，信息系統和組織的安全和隱私控制| CSRC，還請參閱中心 - 威脅性的防禦/攻擊控制框架映射：安全控制框架映射到MITER ATT＆CK
• SP 800-161 Rev. 1，系統和組織的C-SCRM實踐| CSRC
• NPM最佳實踐指南（OPENSSF） - 安全使用NPM的功能和建議
• CIS軟件供應鏈安全指南
• Microsoft/OSS-SSC-FRAMEWORK：開源軟件安全供應鏈框架
• GitHub在開源中實現軟件安全性
• 以前引用：Java庫的Google最佳實踐
• MITER的信任系統
• 國家安全局（NSA），網絡安全和基礎設施安全局（CISA）和國家情報總監辦公室（ODNI）在《持久安全框架》（ESF）倡議下發布了為開發人員確保軟件供應鏈的發行。
• Openssf的簡潔指南，用於開發更安全的軟件2022-09-01
• 克里斯·休斯（Chris Hughes）在NSA推薦的開發人員推薦實踐：確保軟件供應鏈

另請參閱：

• 零信任艱難的道路，凱爾西·希戈特（Kelsey Hightower）
• Kubephilly 2022年3月 - 查看Kubernetes SLSA合規項目
• 供應鏈風險管理

本節包括：可再現的構建，密封構建，可引導構建，CI/CD系統的特殊注意事項，最佳實踐建設OCI容器等文物，等等。

• 可再現的構建，尤其是文檔
  • RB Ecosytem映射
  • 可重現的構建 /宣傳
  • 尼克斯是否可再現？
• Bootstrable Builds（GNU MES參考手冊）
  • 還可以從LWN讀取Bootstrapsable build
• TektonCD/連鎖店：Tekton Pipelines的供應鏈安全
  • Tekton的可驗證供應鏈元數據-CD基金會
• Google/Santa：MacOS的二進制授權系統
• Fepitre/Package-Rebonuilder：用於重建Debian，Fedora和Qubes OS軟件包的獨立編排，以生成可與apt-transport-in-toto或dnf-plugin-in-toto一起使用的in-toto Metadata，以驗證可忽視的狀態。
• kpcyrd/rebuilderd-debian-buildinfo-crawler：可重複的構建：https：//buildinfos.debian.net的刮刀/解析器
  • 另請參閱可再現的構建：Debian和缺少版本字符串的情況-VULNS.XYZ
• kpcyrd/rebuilderd：二進制包裝的獨立驗證 - 可重現的構建
• tag-security/sscsp.md在main·cncf/tag-security
• Defentunicorns/Zarf：空氣間隙和有限連接系統的DevSecops。 https://zarf.dev/
• 洛克希德·馬丁（Lockheed Martin） / hoppr / hoppr是一個CLI框架，用於定義，驗證和轉移環境之間的依賴關係
  • 示例使用SBOM作為輸入：輸入-HOPPR
• 在儀器上：
  • 密切關注草稿：POC證人跑步者集成（！1）·合併請求·gitlab跑步者tistifysec / gitlab-runner
  • 此外，Edgelesss/Constellation：星座是第一個機密的Kubernetes。使用機密計算，星座將整個Kubernetes簇從（雲）基礎架構中屏蔽。
• Reposaur/Reposaur：開發平台的開源合規性工具。
• buildsec/frsca是CNCF安全軟件工廠參考體系結構的實現。它還旨在密切遵守SLSA要求，並為SLSA出處謂詞產生觸覺證明。
• Chainloop-dev/Chainloop：Chainloop是開源軟件供應鏈控制平面，是工件的真實來源，以及聲明性的證明製作過程。
  • 另請參閱：軟件供應鏈證明從Chainloop文檔中的簡便方法
• Aquasecurity/Chain Bench：用於審核軟件供應鏈堆棧的開源工具，用於安全合規性實施CIS 1.0 |漏洞數據庫|水安全性
• OSSF/AllStar：github應用程序設置和執行安全策略
• Scribe-Public/gitgat：評估源控制（GITHUB）安全姿勢
• 合法範圍/合法化：檢測和補救所有GitHub和Gitlab資產的錯誤配置和安全風險
• CrashAppsec/github-Analyzer：檢查GitHub組織的安全設置的工具。
• WSPR-NCSU/GITHUB-ACTION-SECURITION-SECURITY-ALALIS分析表徵GitHub CI工作流程的安全性| usenix
• OSS可複制 - 根據其所謂的來源來衡量包裝的可重複性。 OSS小工具的一部分
• JART/LONDLOCK-MAKE：GNU製作的沙箱從未如此簡單
  • 閱讀：使用內陸鎖來沙盒GNU製造
• Veraison/Veraison：Veraison項目將構建可用於構建認證驗證服務的軟件組件
• 褲子2：符合人體工程學的構建系統
• Bazel是一種開源構建和測試工具，類似於Make，Maven和Gradle
• googlecontainertools/kaniko：在kubernetes中構建容器圖像
• Sethvargo/Ratchet：用於使用版本固定的CI/CD工作流程的工具。
• Buildsec/Vendorme通過為您提供一個管理任何供應商依賴的地方來改善開發人員的工作流程，並確保經過適當的驗證以提高供應鏈周圍的安全性
• eellak/build-recorder
  • 另請參閱：Fosdem 2023-構建記錄器：捕獲詳細信息的系統

另請參閱：

• GitHub上的可再現構建主題
• 依賴性管理作為Google Cloud的工件註冊表文檔的一部分
• 安全硬化的安全性
  • 和：步驟安全/硬跑者：Github託管的安全代理：塊流量和檢測代碼覆蓋以防止違規
• 從創建指導構建構建時間依賴性漏洞中處理構建時間依賴性漏洞
• 代碼瞄準器
• 蘋果酒安全研究/CICD-goat：故意脆弱的CI/CD環境。通過多個挑戰學習CI/CD安全性。
  • 和：步驟安全/攻擊模擬器：模擬過去的供應鏈攻擊，例如Solarwinds，Codecov和UA-Parser-JS
• 閱讀：是什麼使構建可再現，第2部分
• 閱讀：使用GNU GUIX建立安全的軟件供應鏈
• Alecmocatta/build_id：獲得一個唯一代表當前二進制的構建的UUID。
• 閱讀：省略提交和犯下遺漏時：防止git元數據篡改（re）引入軟件漏洞
• 閱讀：可重現的構建：折斷日誌，好東西有樹木
• 使用Melange和Apko保護您的軟件工廠
  • 關於apko模式，請參閱Shopify/Hansel
• kpcyrd/Archlinux-Inputs-fsck：pkgbuilds的皮棉存儲庫

• 除此存儲庫外，一些資源還可以幫助跟上新聞和公告：
  • @Bureado維護的RSS提要與開源安全性，DevSecops，AppSec和供應鏈安全新聞：Corner-Security結合在一起
  • TL; SEC新聞通訊
  • 過去的問題| CloudSeclist
  • 新聞 - 可重現的builds.org
  • 讀取，上下文和學習材料的重要彙編：chainguard-dev/ssc-reading列表：軟件供應鏈安全性的閱讀列表。
  • ENSO安全性的視覺參考：AppSec地圖
  • 類似的：捷堆|軟件供應鏈工具包
  • wg-security-tooling/guide.md在main·ossf/wg-security-tooling from ossf/wg-security-tooling：openssf安全工具工作組
  • Chainguard的安全軟件供應鏈的工具箱
  • Snyk的DevSecops系列中的技​​​​術章節
  • 有用的首字母縮寫列表：首字母縮寫| OpenScap門戶
  • slsa/terminology.md在main·slsa-framework/slsa
  • tag-security/cloud-native-security-lexicon.md在main·cncf/tag-security
  • 觀看：如何開始學習供應鏈安全
  • 觀看：開源供應鏈安全：CheckMarx解決方案的可視化和YouTube上的CheckMarx頻道具有出色的解釋性視頻，可用於供應鏈安全域中的策略，技術和程序

以及閱讀和聆聽的集合，包括洞察力的博客文章，解釋器/全能器以及一些長期的分析（我們試圖將深度潛水讀取為其他部分的深入研究）

• 安全軟件開發基礎課程 - 開源安全基金會
  • 使用Sigstore確保軟件供應鏈
• 免費和開源軟件的人口普查II-應用程序庫
• “鏈” Ging遊戲 - 運行時如何使您的供應鏈更加安全
• 如何通過惡意拉力請求攻擊雲基礎架構
• 確保開源供應鏈的挑戰
• 什麼是軟件供應鏈證明 - 為什麼我需要它？
• 開放政策代理2021，審查年
• 可重複性·雲本機構建包，構建包和SBOM集成機會
• 軟件材料法案的狀態：SBOM增長可以加強軟件供應鏈
• 使用新的VMware Tanzu應用程序平台功能保護軟件供應鏈
  • 安全軟件供應鏈
• 了解供應鏈妥協的一些資源：
  • 供應鏈妥協 - 攻擊
  • 標籤安全/供應鏈安全/妥協在Main·CNCF/Tag-Security
  • IQTLABS/軟件 - 供應鏈 - 啟示性：軟件供應鏈妥協的數據集。請幫助我們維護它！
  • 對開源軟件供應鏈的攻擊分類法和軟件供應鏈的風險探險家
    • Endor Labs的版本：軟件供應鏈的風險探險家
    • 另請參閱經典的Backstabber刀收藏：開源軟件供應鏈攻擊的評論
  • 旨在測量對解釋語言的包裝管理人員的供應鏈攻擊
  • Schectmarx的軟件供應鏈安全威脅景觀經常是新鮮的閱讀
  • OSSF/OSS-Compromises：各種開源安全妥協的檔案
  • 特定於Python的示例：壞演員與我們的社區：檢測軟件供應鏈... Ajinkya Rajput和Ashish Bijlani
  • 全面的全面：保護自己免受供應鏈攻擊-ROB BOS -NDC安全2022
  • 不是供應鏈安全性的特定於供應鏈安全，而是值得跟踪：Paydevs/可怕的oss-Incentents：？由未批准的OSS維護者或資金不足的OSS項目造成的事件列表。歡迎反饋！
• 改善tofu（首次使用的信任），並具有透明度
• 報告：
  • 2022雲狀態本地安全報告-Palo Alto網絡
  • 2022軟件供應鏈安全報告•錨定
• 端到端的演示和示例：
  • goreleaser/供應鏈示例：示例goreleaser + github Action配置具有無鑰匙簽名和SBOM生成
  • 通過GitHub Action，Cosign，Kyverno和其他開源工具提高供應鏈安全性
• 使用SARIF擴展SAST工具的分析
• GitLab的軟件供應鏈安全部分
  • 還請閱讀Gitlab的軟件供應鏈安全方向
• GitHub的SARIF支持代碼掃描
• 通過自動依賴性跟踪驅動開發人員的生產率
• 代碼掃描發現使用機器學習的更多漏洞
• 在來源上保護開源軟件
• 安全：SBOM的價值
• 為什麼SBOMS＆Security掃描一起進行 - 上游：Anchore提出的軟件供應鏈安全播客
• 來自SPDX用戶組的Windows供應鏈中的SBOM
• 到底是誰的標誌？ -Marina Moore，Nyu＆Matthew Riley，Google
• Borg的二進制授權：Google如何驗證代碼出處並實現代碼身份
• Apple Podcast上的應用程序安全周刊（視頻）
• 如何優先提高開源軟件安全性
  • 並加強數字基礎設施：免費和開源軟件的政策議程
• 軟件供應鏈安全轉向降低風險
• 可再現的構建：增加軟​​件供應鏈的完整性
• SIGSTORE/社區：一般Sigstore社區回購
• Cyclonedx用例
  • 聽：＃6：Steve Springett：Cyclonedx和SBOMS的未來-Cybellum
• 建立可持續軟件供應鏈，特別是“軟件供應鏈可持續性成熟度模型”部分：
• 依賴性問題：解決世界的開源軟件安全問題也提供了有關問題空間的充分冥想的觀點
• 數字經濟在開源上運行。這是保護它的方法（HBR）
• 報告：95％的IT領導人說log4shell是雲安全的“主要喚醒電話”
• 演示：Dustin Ingram在PyConus2022上保護開源軟件供應鏈
• 觀看：2022年Kurt Seifried的開源安全狀況
• 播客：Google的Kubernetes播客：第174集 - 與聖地亞哥·托雷斯·阿里亞斯（Santiago Torres-Arias）一起
• EO 14028和供應鏈安全
• 在SBOM的整個開發，交付和部署中降低開源風險，2022年5月的論文在高水平上說明了SBOM在出版，分銷和交付方案中的差異；參見第6-9頁
• 開源安全基金會（OPENSSF）安全動員計劃
• 不只是第三方風險
• 開源安全：數字基礎設施如何建立在紙牌屋上
• 系列：自舉信任第1部分涵蓋加密，證書，鏈條和信任根源
• 需要接觸註冊表：Cloudsmith和O'Reilly連續包裝的興起
• 雲本地Java的供應鏈安全（來自Thomas Vitale）
• 播客：這取決於一小部分
• 開源軟件供應鏈的新安全問題（軟件供應鏈狀態的最高發現：開源版2022）
• 軟件供應鏈引物V0.93（2022年6月）