1.1 KiB
1.1 KiB
title, type, tags
| title | type | tags | |||
|---|---|---|---|---|---|
| Supply Chain Security | concept |
|
Definition
软件供应链安全,保护从开发到交付的全流程安全。包括源码管理(SCM)、构建组件(CI)、制品库到最终交付系统(CD)的所有环节的安全性。
Key Components
- 开发环境安全:开发人员工作站、IDE 安全
- 源码管理(SCM)安全:代码仓库访问控制、代码签名
- 构建(CI)安全:构建服务器安全、构建脚本验证、依赖检查
- 制品库安全:二进制文件完整性、签名验证
- 交付(CD)安全:交付渠道安全、版本验证
Best Practices
- SBOM(Software Bill of Materials):软件物料清单,记录所有依赖
- 签名验证:所有构建产物必须经过数字签名
- 安全扫描:构建过程中集成 SAST、 SCA、容器扫描
- 最小权限:CI/CD 工具使用最小权限原则
Related
- SolarWinds Hack:著名供应链攻击案例
- CI/CD Security:持续集成与持续交付安全
- SDL (Security Development Lifecycle):软件安全开发生命周期