ishenwei/nexus

Fork 0

Files

weishen 5ae9550d8c Auto-sync: wiki-ingest 3 sources (2026-04-16)

2026-04-16 00:08:35 +08:00

3.8 KiB

Raw Blame History

title, type, source-type, category, tags, date-added, video-source, audio-source, status

title

type

source-type

CTP Topic 21 Supply Chain Security in Micro Focus

Source: NAS /volume2/work/Public Cloud Learning Sessions/CTP _ Topic 21_ Supply Chain Security in Micro Focus.mp4

Type: VIDEO | Category: 07_Security

Status: ✅ 已完成（Gemini 摘要）

摘要

本次会议由 Micro Focus 产品安全小组的 Shlomi Ben-Hur 主讲，核心议题是“微聚焦（Micro Focus）软件供应链安全的新方法”。在当前的云转型背景下，软件供应链安全已成为企业安全战略的重中之重。

演讲首先定义了产品层面的供应链：它不仅包含纯粹的代码开发，还涵盖了从源码管理（SCM）、构建组件（CI）、制品库到最终交付系统（CD）的所有环节。Shlomi 指出，Micro Focus 内部存在极高的工具多样性（例如拥有 17 种不同的源码管理工具），这为建立统一的安全基准带来了巨大挑战。

随后，视频深入探讨了为何现在必须重视供应链安全。主要驱动因素包括：1. 重大安全事件的警示：如 SolarWinds 黑客攻击事件，黑客通过渗透构建过程注入恶意代码，导致数千家政企客户受害；2. 政策与合规要求：美国总统发布的加强国家网络安全的行政命令；3. 业务转型需求：Micro Focus 正在大规模向 AWS 云端和 SaaS 模式迁移，云端环境的开放性增加了安全风险。

最后，Shlomi 提出了安全观念的根本转变：从过去 99% 关注研发安全（如代码扫描、渗透测试）转向全生命周期的安全防护。新的安全模型将供应链安全作为软件开发生命周期（SDL）的第五大支柱，强调必须同时确保 CI 过程（构建环境、自动化服务器）和 CD 过程（交付系统）的完整性，防止黑客在任何环节篡改二进制文件。

关键概念

Supply Chain (Product Level): 指支持产品开发、构建及交付的所有组件和流程，包括开发环境、CI/CD 工具链及分发系统。
SolarWinds Hack: 一次著名的供应链攻击事件，黑客通过在软件构建阶段注入木马，利用合法更新渠道感染了大量下游客户。
CI/CD Security: 持续集成与持续交付的安全，旨在保护构建服务器、制品库和交付渠道不被未经授权的访问或篡改。
SDL (Security Development Lifecycle): 软件安全开发生命周期，Micro Focus 将供应链安全纳入其 13 个安全轨道中的第 5 轨道。
SCM (Source Code Management): 源码管理工具，是供应链的起点，视频提到公司内部使用了 GitHub Enterprise 等 17 种不同的 SCM 工具。
Executive Order (Cybersecurity): 指美国政府发布的关于加强国家网络安全的行政命令，直接推动了软件行业对供应链透明度和安全性的重视。
Lateral Movement: 横向移动，指黑客在进入受害者网络后，利用获取的权限在系统内部寻找更高价值目标的过程。

3.8 KiB

Raw Blame History

CTP Topic 21 Supply Chain Security in Micro Focus

摘要

关键概念

相关视频

相关视频

3.8 KiB Raw Blame History Unescape Escape

CTP Topic 21 Supply Chain Security in Micro Focus

摘要

关键概念

相关视频

相关视频

3.8 KiB

Raw Blame History