ishenwei/nexus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
2e0b9940edbcc2e8d4895cb620bcf1378ffbb7ef
nexus/wiki/sources/ctp-topic-21-supply-chain-security-in-micro-focus.md

55 lines
3.6 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
title: "CTP Topic 21 Supply Chain Security in Micro Focus"
type: source
tags:
- Security
- Supply-Chain
- CTP
- CI/CD
- DevSecOps
date: 2026-04-14
---
## Source File
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-21-supply-chain-security-in-micro-focus]]
## Summary用中文描述
- 核心主题Micro Focus 软件供应链安全的新方法与安全观念的根本转变
- 问题域软件供应链攻击防御、CI/CD 安全、SDL 第五支柱建设
- 方法/机制:供应链安全纳入 SDL 五大支柱;保护 CI 过程(构建环境/自动化服务器)和 CD 过程(交付系统)完整性;防止黑客在构建环节篡改二进制文件
- 结论/价值:从"99% 关注研发安全"转向全生命周期安全防护;强调 CI/CD 供应链完整性是云转型的基础保障
## Key Claims用中文描述
- Micro Focus 通过 Shlomi Ben-Hur 提出:软件供应链安全必须成为 SDL安全开发生命周期的第五大支柱
- SolarWinds 事件证明:黑客通过渗透构建过程注入恶意代码,利用合法更新渠道感染下游客户
- Micro Focus 内部存在极高的工具多样性17 种不同 SCM 工具),为建立统一安全基准带来巨大挑战
- 安全观念转变:从过去 99% 关注研发安全(如代码扫描、渗透测试)转向全生命周期安全防护
## Key Quotes
> "在当前的云转型背景下,软件供应链安全已成为企业安全战略的重中之重" — Shlomi Ben-HurMicro Focus 产品安全小组
> "SolarWinds 攻击事件证明,黑客可以通过渗透构建过程注入恶意代码,利用合法更新渠道感染大量下游客户" — 视频核心案例
## Key Concepts
- [[Supply Chain Security供应链安全]]指支持产品开发、构建及交付的所有组件和流程包括开发环境、CI/CD 工具链及分发系统
- [[SolarWinds Hack]]:一次著名的供应链攻击事件,黑客通过在软件构建阶段注入木马,利用合法更新渠道感染了大量下游客户
- [[CI/CD Security]]:持续集成与持续交付的安全,旨在保护构建服务器、制品库和交付渠道不被未经授权的访问或篡改
- [[SDLSecurity Development Lifecycle]]软件安全开发生命周期Micro Focus 将供应链安全纳入其 13 个安全轨道中的第 5 轨道
- [[Executive Order on Cybersecurity]]:美国总统发布的关于加强国家网络安全的行政命令,直接推动了软件行业对供应链透明度和安全性的重视
- [[Lateral Movement]]:横向移动,指黑客在进入受害者网络后,利用获取的权限在系统内部寻找更高价值目标的过程
## Key Entities
- [[Micro Focus]]:企业,正在大规模向 AWS 云端和 SaaS 模式迁移,产品安全小组主讲供应链安全
- [[Shlomi Ben-Hur]]Micro Focus 产品安全小组,主讲本次会议
- [[SolarWinds]]:发生重大供应链安全事件的软件公司,攻击事件成为行业警示案例
- [[GitHub Enterprise]]Micro Focus 使用的 17 种 SCM 工具之一
## Connections
- [[CTP Topic 9 CI/CD with Gruntwork]] ← related_to ← [[CTP Topic 21 Supply Chain Security]]
- [[Security Development Lifecycle (SDL) Deep Dive]] ← extends ← [[CTP Topic 21 Supply Chain Security]]
- [[Cloud Transformation Programme Overview]] ← context ← [[CTP Topic 21 Supply Chain Security]]
- [[DevOps Tooling Standardization]] ← related_to ← [[CTP Topic 21 Supply Chain Security]]
## Contradictions
- 暂无发现内容冲突。该来源主要介绍供应链安全理念,未与其他页面存在直接冲突。
Reference in New Issue View Git Blame Copy Permalink