CSO视角:Sigstore如何保障软件供应链安全?】的更多相关文章

CSO视角:Sigstore如何保障软件供应链安全?

本文作者 Chris Hughes,Aquia的联合创始人及CISO,拥有近20年的网络安全经验. SolarWinds 和 Log4j 等影响广泛的软件供应链攻击事件引起了业界对软件供应链安全的关注.许多企业开始让安全团队选型安全工具,以确保第三方软件的安全性.软件的使用无处不在,根据世界经济论坛(WEF)的数据,数字化平台占据了GDP的60%.尽管我们当前使用软件的方式正在改变世界,但目前依旧欠缺方法来保护整个软件供应链的安全.软件供应链通常不使用数字签名,或者使用传统的数字签名,这对于自动…

Kubernetes 时代的安全软件供应链

点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者 汤志敏  阿里云容器服务高级技术专家 汪圣平  阿里云云平台安全高级安全专家 导读:从 Docker image 到 Helm, 从企业内部部署到全球应用分发,作为开发者的我们如何来保障应用的交付安全.本文会从软件供应链的攻击场景开始,介绍云原生时代的应用交付标准演进和阿里云上的最佳实践. "没有集装箱,就不会有全…

基于 Docker 的现代软件供应链

[编者按]本文作者为 Marc Holmes,主要介绍一项关于现代软件供应链的调查结果.本文系国内 ITOM 管理平台 OneAPM 编译呈现,以下为正文. 3 月初,为了了解软件供应链的现状以及 Docker 在软件供应链发展中所起的作用,我们广泛调查了对 Docker 感兴趣的人群.今天上午,我们很高兴在此公布该调查的结果,您也可以点击此处获取报告详情. 调查方法 在此次调查中,我们采访了部署容器技术各个阶段的人员,并收到了 500 多位调查对象的反馈结果.他们都是从事开发和运维工作的专业技…

OpenSSF安全计划:SBOM将驱动软件供应链安全

在 软件成分分析(SCA)一文中,我们简单提到软件物料清单(SBOM)在安全实践中的价值. 本期文章将带你深入了解 "SBOM 无处不在"计划是什么,以及 SBOM 对未来软件供应链安全和开源生态系统的重要性. 开源软件安全基金会(OpenSSF)发布了一项动员计划,以提高开源软件(OSS)的适应性和安全性. 现代软件供应链之所以广泛使用 OSS,是因为它提供了更快的创新和更高质量的产品,但由于 OSS 组件固有的漏洞,其广泛采用会伴随一定风险. 该计划的一个重要部分是使用软件物料清单…

SLSA 框架与软件供应链安全防护

随着软件供应链攻击浪潮愈演愈烈,Google 发布了一系列指南来确保软件包的完整性,旨在防止影响软件供应链的未经授权的代码修改.新的 Google SLSA 框架(Supply-chain Levels for Software Artifacts 软件构件的供应链级别)通过识别 CI/CD 流水线中的问题并减小影响,为企业实现更安全的软件开发和部署流程提供建议. ​  ​ Google 的 SLSA 框架 SLSA 是一个端到端框架,旨在确保软件开发和部署过程的安全性,专注于缓解由于篡改源代码…

【阿里聚安全·安全周刊】苹果证实 iOS 源代码泄露|英国黑客赢下官司

本周的七个关键词:iOS 源代码泄露  丨 阿里软件供应链安全大赛  丨  个人数据安全  丨  Android P  丨  黑客赢下官司  丨  备忘录泄露美国安全局机密  丨  机器学习系统 -1-   [iOS]苹果证实 iOS 源代码泄露 强调对 iPhone 安全没有影响 来源:hackernews.cc ------------------------------------------------------ 在当地时间星期四上午发表的一份声明中,苹果证实泄露到 GitHub 上的…

一个程序的自我修养「GitHub 热点速览 v.22.19」

一个程序要诞生涉及前后端技术,比如,你可以用可视化网页搭建工具 tmagic-editor 完成前端部分,而后端部分的数据库以及数据处理可能就要用到 jsonhero-web 和 directus.知其然知其所以然,DDIA 则带你了解数据库设计背后的思考.更甚者,你对数据背后的验证有兴趣,你可以通过 adx 项目来了解数据通信. 以下内容摘录自微博@HelloGitHub 的 GitHub Trending 及 Hacker News 热帖(简称 HN 热帖),选项标准:新发布 | 实用 |…

一文掌握软件安全必备技术 SAST

上一篇文章中,我们讨论了软件供应链的概念并了解到近年来软件供应链安全事件层出不穷.为了保障软件供应链安全,我们需要了解网络安全领域中的一些主要技术.本篇文章将介绍其中一个重要技术--SAST. 当开发软件时,我们必须同时考虑开发生命周期中的安全性和源代码功能.人为错误是难免的,因此任何企业都会尽可能使用 SAST 工具,以最大限度地减少进入最终应用程序的代码错误数量,并保护应用程序免受未来的网络攻击.‍ 让我们一起看看 SAST 技术究竟是什么,从长远来看,它如何帮助您的应用程序更安全,以及它如…

【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/?platform=hootsuite 未完全按原文翻译. 在2017年6月27日,一款勒索软件开始在欧洲大范围传播.我们注意到攻击从乌克兰开始,超过12,500台机器遭到威胁.随后勒索软件传播超过64个国家,包括比利时,德国,俄罗斯和美国. 这款新的勒索软件具备蠕虫…

360安全中心:WannaCry勒索软件威胁形势分析

猫宁!!! 参考链接:http://zt.360.cn/1101061855.php?dtid=1101062360&did=210646167 这不是全文,而是重点摘要部分. 2017年5月,影响全球的永恒之蓝勒索蠕虫(Wannacry)大规模爆发后,有两个重要问题一直让很多我国政企机构管理者和安全从业者感到困惑:一个是内网穿透问题,一个是同业差距问题. 1) 内网穿透问题 WannaCry传播和攻击的一个明显的特点,就是内网设备遭感染的情况要比互联网设备遭感染的情况严重得多.虽然说,未打补丁…