3.6 KiB
3.6 KiB
title, type, tags, date
| title | type | tags | date | |||||
|---|---|---|---|---|---|---|---|---|
| CTP Topic 21 Supply Chain Security in Micro Focus | source |
|
2026-04-14 |
Source File
Summary(用中文描述)
- 核心主题:Micro Focus 软件供应链安全的新方法与安全观念的根本转变
- 问题域:软件供应链攻击防御、CI/CD 安全、SDL 第五支柱建设
- 方法/机制:供应链安全纳入 SDL 五大支柱;保护 CI 过程(构建环境/自动化服务器)和 CD 过程(交付系统)完整性;防止黑客在构建环节篡改二进制文件
- 结论/价值:从"99% 关注研发安全"转向全生命周期安全防护;强调 CI/CD 供应链完整性是云转型的基础保障
Key Claims(用中文描述)
- Micro Focus 通过 Shlomi Ben-Hur 提出:软件供应链安全必须成为 SDL(安全开发生命周期)的第五大支柱
- SolarWinds 事件证明:黑客通过渗透构建过程注入恶意代码,利用合法更新渠道感染下游客户
- Micro Focus 内部存在极高的工具多样性(17 种不同 SCM 工具),为建立统一安全基准带来巨大挑战
- 安全观念转变:从过去 99% 关注研发安全(如代码扫描、渗透测试)转向全生命周期安全防护
Key Quotes
"在当前的云转型背景下,软件供应链安全已成为企业安全战略的重中之重" — Shlomi Ben-Hur,Micro Focus 产品安全小组
"SolarWinds 攻击事件证明,黑客可以通过渗透构建过程注入恶意代码,利用合法更新渠道感染大量下游客户" — 视频核心案例
Key Concepts
- Supply Chain Security(供应链安全):指支持产品开发、构建及交付的所有组件和流程,包括开发环境、CI/CD 工具链及分发系统
- SolarWinds Hack:一次著名的供应链攻击事件,黑客通过在软件构建阶段注入木马,利用合法更新渠道感染了大量下游客户
- CI/CD Security:持续集成与持续交付的安全,旨在保护构建服务器、制品库和交付渠道不被未经授权的访问或篡改
- SDL(Security Development Lifecycle):软件安全开发生命周期,Micro Focus 将供应链安全纳入其 13 个安全轨道中的第 5 轨道
- Executive Order on Cybersecurity:美国总统发布的关于加强国家网络安全的行政命令,直接推动了软件行业对供应链透明度和安全性的重视
- Lateral Movement:横向移动,指黑客在进入受害者网络后,利用获取的权限在系统内部寻找更高价值目标的过程
Key Entities
- Micro Focus:企业,正在大规模向 AWS 云端和 SaaS 模式迁移,产品安全小组主讲供应链安全
- Shlomi Ben-Hur:Micro Focus 产品安全小组,主讲本次会议
- SolarWinds:发生重大供应链安全事件的软件公司,攻击事件成为行业警示案例
- GitHub Enterprise:Micro Focus 使用的 17 种 SCM 工具之一
Connections
- CTP Topic 9 CI/CD with Gruntwork ← related_to ← CTP Topic 21 Supply Chain Security
- Security Development Lifecycle (SDL) Deep Dive ← extends ← CTP Topic 21 Supply Chain Security
- Cloud Transformation Programme Overview ← context ← CTP Topic 21 Supply Chain Security
- DevOps Tooling Standardization ← related_to ← CTP Topic 21 Supply Chain Security
Contradictions
- 暂无发现内容冲突。该来源主要介绍供应链安全理念,未与其他页面存在直接冲突。