29 lines
1.1 KiB
Markdown
29 lines
1.1 KiB
Markdown
---
|
||
title: "Supply Chain Security"
|
||
type: concept
|
||
tags:
|
||
- Security
|
||
- Supply-Chain
|
||
- CI/CD
|
||
---
|
||
|
||
## Definition
|
||
软件供应链安全,保护从开发到交付的全流程安全。包括源码管理(SCM)、构建组件(CI)、制品库到最终交付系统(CD)的所有环节的安全性。
|
||
|
||
## Key Components
|
||
- **开发环境安全**:开发人员工作站、IDE 安全
|
||
- **源码管理(SCM)安全**:代码仓库访问控制、代码签名
|
||
- **构建(CI)安全**:构建服务器安全、构建脚本验证、依赖检查
|
||
- **制品库安全**:二进制文件完整性、签名验证
|
||
- **交付(CD)安全**:交付渠道安全、版本验证
|
||
|
||
## Best Practices
|
||
- SBOM(Software Bill of Materials):软件物料清单,记录所有依赖
|
||
- 签名验证:所有构建产物必须经过数字签名
|
||
- 安全扫描:构建过程中集成 SAST、 SCA、容器扫描
|
||
- 最小权限:CI/CD 工具使用最小权限原则
|
||
|
||
## Related
|
||
- [[SolarWinds Hack]]:著名供应链攻击案例
|
||
- [[CI/CD Security]]:持续集成与持续交付安全
|
||
- [[SDL (Security Development Lifecycle)]]:软件安全开发生命周期 |