---
title: "Supply Chain Security"
type: concept
tags:
  - Security
  - Supply-Chain
  - CI/CD
---

## Definition
软件供应链安全，保护从开发到交付的全流程安全。包括源码管理（SCM）、构建组件（CI）、制品库到最终交付系统（CD）的所有环节的安全性。

## Key Components
- **开发环境安全**：开发人员工作站、IDE 安全
- **源码管理（SCM）安全**：代码仓库访问控制、代码签名
- **构建（CI）安全**：构建服务器安全、构建脚本验证、依赖检查
- **制品库安全**：二进制文件完整性、签名验证
- **交付（CD）安全**：交付渠道安全、版本验证

## Best Practices
- SBOM（Software Bill of Materials）：软件物料清单，记录所有依赖
- 签名验证：所有构建产物必须经过数字签名
- 安全扫描：构建过程中集成 SAST、 SCA、容器扫描
- 最小权限：CI/CD 工具使用最小权限原则

## Related
- [[SolarWinds Hack]]：著名供应链攻击案例
- [[CI/CD Security]]：持续集成与持续交付安全
- [[SDL (Security Development Lifecycle)]]：软件安全开发生命周期