在 软件成分分析(SCA)一文中,我们简单提到软件物料清单(SBOM)在安全实践中的价值. 本期文章将带你深入了解 "SBOM 无处不在"计划是什么,以及 SBOM 对未来软件供应链安全和开源生态系统的重要性. 开源软件安全基金会(OpenSSF)发布了一项动员计划,以提高开源软件(OSS)的适应性和安全性. 现代软件供应链之所以广泛使用 OSS,是因为它提供了更快的创新和更高质量的产品,但由于 OSS 组件固有的漏洞,其广泛采用会伴随一定风险. 该计划的一个重要部分是使用软件物料清单…

本文作者 Chris Hughes,Aquia的联合创始人及CISO,拥有近20年的网络安全经验. SolarWinds 和 Log4j 等影响广泛的软件供应链攻击事件引起了业界对软件供应链安全的关注.许多企业开始让安全团队选型安全工具,以确保第三方软件的安全性.软件的使用无处不在,根据世界经济论坛(WEF)的数据,数字化平台占据了GDP的60%.尽管我们当前使用软件的方式正在改变世界,但目前依旧欠缺方法来保护整个软件供应链的安全.软件供应链通常不使用数字签名,或者使用传统的数字签名,这对于自动…

随着软件供应链攻击浪潮愈演愈烈,Google 发布了一系列指南来确保软件包的完整性,旨在防止影响软件供应链的未经授权的代码修改.新的 Google SLSA 框架(Supply-chain Levels for Software Artifacts 软件构件的供应链级别)通过识别 CI/CD 流水线中的问题并减小影响,为企业实现更安全的软件开发和部署流程提供建议. ​  ​ Google 的 SLSA 框架 SLSA 是一个端到端框架,旨在确保软件开发和部署过程的安全性,专注于缓解由于篡改源代码…

点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者 汤志敏  阿里云容器服务高级技术专家 汪圣平  阿里云云平台安全高级安全专家 导读:从 Docker image 到 Helm, 从企业内部部署到全球应用分发,作为开发者的我们如何来保障应用的交付安全.本文会从软件供应链的攻击场景开始,介绍云原生时代的应用交付标准演进和阿里云上的最佳实践. "没有集装箱,就不会有全…

今天,我们很高兴宣布 Seal 0.4 已正式发布!在上一个版本中,Seal 完成了从单一产品到全链路平台的转变,通过全局视图帮助用户掌握软件开发生命周期各个环节的安全状况. 在 Seal 0.4 中,全局视图将再一步升级,软件供应链全链路的安全洞察得到进一步增强,新版本为用户提供了软件供应链知识图.更细粒度的指标可视化以及更灵活可控的扫描配置等特性,帮助开发团队深入觉察供应链组件之间的上下游关系,及时发现潜在安全问题,进而降低修复成本. 产品试用:https://seal.io/trial 产…

[编者按]本文作者为 Marc Holmes,主要介绍一项关于现代软件供应链的调查结果.本文系国内 ITOM 管理平台 OneAPM 编译呈现,以下为正文. 3 月初,为了了解软件供应链的现状以及 Docker 在软件供应链发展中所起的作用,我们广泛调查了对 Docker 感兴趣的人群.今天上午,我们很高兴在此公布该调查的结果,您也可以点击此处获取报告详情. 调查方法 在此次调查中,我们采访了部署容器技术各个阶段的人员,并收到了 500 多位调查对象的反馈结果.他们都是从事开发和运维工作的专业技…

摘要:在v1.13.0版本中,KubeEdge项目已达到 SLSAL3等级(包括二进制和容器镜像构件),成为CNCF社区首个达到SLSA L3等级的项目. 本文分享自华为云社区<CNCF社区首个!KubeEdge达到软件供应链SLSA L3等级>,作者:KubeEdge SIG-Security (首发于KubeEdge博客[1]) KubeEdge社区已于2022年7月份完成整个KubeEdge项目的第三方安全审计[2],已发布云原生边缘计算安全威胁分析和防护白皮书,并根据安全威胁模型和安全…

随着开发和交付的压力越来越大,许多企业选择依赖第三方来帮助运营和发展业务.值得重视的是,第三方软件及服务供应商和合作伙伴也是云环境攻击面的重要组成部分.尽管企业无法完全切断与第三方的关联,但可以在向他们提供进入单一云和多云环境的权限时强制执行最小特权原则.本文将带你了解如何缓解云端业务第三方风险对企业的影响以及缓解相应风险的技巧. 第三方对云环境的影响 第三方,包括供应商.承包商.合作伙伴,甚至云提供商,都是企业业务生态系统的基本组成部分.他们从各个方面帮助企业实现业务增长,包括从软件工程和 I…

信息化日新月异的蓬勃发展,导致企业在选择ERP软件时频频踩雷.企业如何选择出一个适合自己的ERP软件系统呢?是选择国外知名公司的ERP软件产品,还是选择国内性价比高的ERP软件产品呢,小编就带大家了解下国内外ERP软件的差异化. 一.国外ERP软件 突出特点:软件是硬核 产品优势: 1.融合了国际先进的企业管理理念,采用多组织架构设计,满足集团企业复杂的组织架构业务处理需求,规范企业的业务操作流程,为客户提供最佳的业务解决方案. 2.各业务系统之间的数据实时同步.共享,及时反映企业的经营状况,为…

在此前的多篇文章中,我们已经详细地介绍了软件物料清单(SBOM)对于保障软件供应链安全的重要性以及一些注意事项.在本文中,我们将会更深入地介绍SBOM,包括最低要求元素.格式.使用场景以及如何对其进行管理等. SBOM所包含的元素 2021年年中,NTIA发布了软件物料清单(SBOM)的最少必需元素.这些元素包含以下三类: 数据字段:每个软件组件的基本信息 自动化支持:能够自动生成机器可读格式的SBOM 实践和流程:SBOM 应该如何及何时生成和分发 所需元素的目的是为 SBOM 使用者提供他们…