ishenwei/nexus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
da0f9c3594b7df7856fe248ef7f62e2c9642c708
nexus/knowledgebase/DevOps & SRE/07_Security/ctp-topic-21-supply-chain-security-in-micro-focus.md

64 lines
3.8 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
title: "CTP Topic 21 Supply Chain Security in Micro Focus"
type: cloud-learning
source-type: video
category: "DevOps & SRE/07_Security"
tags:
- Security
- Supply-Chain
- CTP
date-added: 2026-04-14
video-source: "nas:///volume2/work/Public Cloud Learning Sessions/CTP _ Topic 21_ Supply Chain Security in Micro Focus.mp4"
audio-source: ""
status: summarized (Gemini 摘要)
---
# CTP Topic 21 Supply Chain Security in Micro Focus
**Source:** NAS `/volume2/work/Public Cloud Learning Sessions/CTP _ Topic 21_ Supply Chain Security in Micro Focus.mp4`
**Type:** VIDEO | **Category:** 07_Security
**Status:** ✅ 已完成Gemini 摘要)
---
## 摘要
> 本次会议由 Micro Focus 产品安全小组的 Shlomi Ben-Hur 主讲核心议题是“微聚焦Micro Focus软件供应链安全的新方法”。在当前的云转型背景下软件供应链安全已成为企业安全战略的重中之重。
> 演讲首先定义了产品层面的**供应链**它不仅包含纯粹的代码开发还涵盖了从源码管理SCM、构建组件CI、制品库到最终交付系统CD的所有环节。Shlomi 指出Micro Focus 内部存在极高的工具多样性(例如拥有 17 种不同的源码管理工具),这为建立统一的安全基准带来了巨大挑战。
> 随后视频深入探讨了为何现在必须重视供应链安全。主要驱动因素包括1. **重大安全事件的警示**:如 SolarWinds 黑客攻击事件黑客通过渗透构建过程注入恶意代码导致数千家政企客户受害2. **政策与合规要求**美国总统发布的加强国家网络安全的行政命令3. **业务转型需求**Micro Focus 正在大规模向 AWS 云端和 SaaS 模式迁移,云端环境的开放性增加了安全风险。
> 最后Shlomi 提出了安全观念的根本转变:从过去 99% 关注研发安全如代码扫描、渗透测试转向全生命周期的安全防护。新的安全模型将供应链安全作为软件开发生命周期SDL的第五大支柱强调必须同时确保 CI 过程(构建环境、自动化服务器)和 CD 过程(交付系统)的完整性,防止黑客在任何环节篡改二进制文件。
---
## 关键概念
- **Supply Chain (Product Level)**: 指支持产品开发、构建及交付的所有组件和流程包括开发环境、CI/CD 工具链及分发系统。
- **SolarWinds Hack**: 一次著名的供应链攻击事件,黑客通过在软件构建阶段注入木马,利用合法更新渠道感染了大量下游客户。
- **CI/CD Security**: 持续集成与持续交付的安全,旨在保护构建服务器、制品库和交付渠道不被未经授权的访问或篡改。
- **SDL (Security Development Lifecycle)**: 软件安全开发生命周期Micro Focus 将供应链安全纳入其 13 个安全轨道中的第 5 轨道。
- **SCM (Source Code Management)**: 源码管理工具,是供应链的起点,视频提到公司内部使用了 GitHub Enterprise 等 17 种不同的 SCM 工具。
- **Executive Order (Cybersecurity)**: 指美国政府发布的关于加强国家网络安全的行政命令,直接推动了软件行业对供应链透明度和安全性的重视。
- **Lateral Movement**: 横向移动,指黑客在进入受害者网络后,利用获取的权限在系统内部寻找更高价值目标的过程。
---
## 相关视频
> [!info]+ 交叉引用
> [[Cloud Transformation Program Overview]] — 讨论了 Micro Focus 整体向 AWS 迁移的战略背景。
> [[Security Development Lifecycle (SDL) Deep Dive]] — 详细介绍了视频中提到的 13 个安全轨道及 SDL 流程。
> [[DevOps Tooling Standardization]] — 关联到视频中提到的 17 种 SCM 工具整合与标准化的挑战。
## 相关视频
> 配对视频笔记链接(生成后填入)
---
*最后更新: 2026-04-14*
Reference in New Issue View Git Blame Copy Permalink