--- title: "CTP Topic 21 Supply Chain Security in Micro Focus" type: source tags: - Security - Supply-Chain - CTP - CI/CD - DevSecOps date: 2026-04-14 --- ## Source File - [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-21-supply-chain-security-in-micro-focus]] ## Summary(用中文描述) - 核心主题:Micro Focus 软件供应链安全的新方法与安全观念的根本转变 - 问题域:软件供应链攻击防御、CI/CD 安全、SDL 第五支柱建设 - 方法/机制:供应链安全纳入 SDL 五大支柱;保护 CI 过程(构建环境/自动化服务器)和 CD 过程(交付系统)完整性;防止黑客在构建环节篡改二进制文件 - 结论/价值:从"99% 关注研发安全"转向全生命周期安全防护;强调 CI/CD 供应链完整性是云转型的基础保障 ## Key Claims(用中文描述) - Micro Focus 通过 Shlomi Ben-Hur 提出:软件供应链安全必须成为 SDL(安全开发生命周期)的第五大支柱 - SolarWinds 事件证明:黑客通过渗透构建过程注入恶意代码,利用合法更新渠道感染下游客户 - Micro Focus 内部存在极高的工具多样性(17 种不同 SCM 工具),为建立统一安全基准带来巨大挑战 - 安全观念转变:从过去 99% 关注研发安全(如代码扫描、渗透测试)转向全生命周期安全防护 ## Key Quotes > "在当前的云转型背景下,软件供应链安全已成为企业安全战略的重中之重" — Shlomi Ben-Hur,Micro Focus 产品安全小组 > "SolarWinds 攻击事件证明,黑客可以通过渗透构建过程注入恶意代码,利用合法更新渠道感染大量下游客户" — 视频核心案例 ## Key Concepts - [[Supply Chain Security(供应链安全)]]:指支持产品开发、构建及交付的所有组件和流程,包括开发环境、CI/CD 工具链及分发系统 - [[SolarWinds Hack]]:一次著名的供应链攻击事件,黑客通过在软件构建阶段注入木马,利用合法更新渠道感染了大量下游客户 - [[CI/CD Security]]:持续集成与持续交付的安全,旨在保护构建服务器、制品库和交付渠道不被未经授权的访问或篡改 - [[SDL(Security Development Lifecycle)]]:软件安全开发生命周期,Micro Focus 将供应链安全纳入其 13 个安全轨道中的第 5 轨道 - [[Executive Order on Cybersecurity]]:美国总统发布的关于加强国家网络安全的行政命令,直接推动了软件行业对供应链透明度和安全性的重视 - [[Lateral Movement]]:横向移动,指黑客在进入受害者网络后,利用获取的权限在系统内部寻找更高价值目标的过程 ## Key Entities - [[Micro Focus]]:企业,正在大规模向 AWS 云端和 SaaS 模式迁移,产品安全小组主讲供应链安全 - [[Shlomi Ben-Hur]]:Micro Focus 产品安全小组,主讲本次会议 - [[SolarWinds]]:发生重大供应链安全事件的软件公司,攻击事件成为行业警示案例 - [[GitHub Enterprise]]:Micro Focus 使用的 17 种 SCM 工具之一 ## Connections - [[CTP Topic 9 CI/CD with Gruntwork]] ← related_to ← [[CTP Topic 21 Supply Chain Security]] - [[Security Development Lifecycle (SDL) Deep Dive]] ← extends ← [[CTP Topic 21 Supply Chain Security]] - [[Cloud Transformation Programme Overview]] ← context ← [[CTP Topic 21 Supply Chain Security]] - [[DevOps Tooling Standardization]] ← related_to ← [[CTP Topic 21 Supply Chain Security]] ## Contradictions - 暂无发现内容冲突。该来源主要介绍供应链安全理念,未与其他页面存在直接冲突。