博客文章

背景 SLSA（软件工件的供应链级别）是一个安全框架，旨在防止篡改、提高完整性以及保护包和基础设施的安全。 SLSA 的核心概念是，只有满足三个要求的软件工件才可以被信任：该工件应该有一个描述其起源和构建过程的来源文档[...]

当软件供应商未能履行对消费者、企业或关键基础设施提供商（白宫）的谨慎义务时，他们必须承担责任。如今，任何软件提供商都应该承担更大的责任，通过合同协议、软件发布和更新、通知和[...]来确保软件的完整性和安全性。

TL;DR 近年来，科技行业大力倡导软件开发中的“左移”概念，主张尽早将安全实践融入到开发生命周期中。这一运动旨在赋予开发人员从项目一开始就确保其代码安全的责任。然而，虽然这种方法背后的意图是[...]

业界尚未完全掌握 SBOM 的概念，我们已经开始听到一个新术语——ML-BOM——机器学习物料清单。在出现恐慌之前，我们先了解一下为什么要生成这样的 BOM、生成 ML-BOM 的挑战以及这样的 ML-BOM 是什么样的。 […]

软件供应链的风险之一是秘密泄露。软件供应链中到处都是秘密；开发人员和 CI\CD 管道需要使用机密来访问 SCM、管道、工件注册表、云环境和外部服务。当秘密无处不在时，这是一个时间问题 [...]

2.0 月初，美国国家标准与技术研究院 (NIST) 发布了其具有里程碑意义的网络安全框架的 2014 版草案，该框架于 10 年首次发布。过去 XNUMX 年发生了很多变化，其中最重要的是网络安全水平的不断提高。原始文件旨在帮助关键的网络安全威胁[...]

最近我们都听说过很多有关 SBOM 的事情。我们了解了它们的用途、组成以及对安全和监管的要求。这次我想花时间谈谈 CyclonDX SBOM 中一个不太为人所知的部分——依赖图。与名称所暗示的不同，依赖图不是 [...]

在过去的几年里，人们写了很多关于 SBOM（软件物料清单）的文章。通过所有这些曝光，人们觉得他们知道什么可以很好地解释——它是软件成分的列表，它对于透明度和安全性很重要，并且有助于暴露暂时的依赖关系。全部 […]

Valint 是用于创建、管理、签名和验证证据的主要 Scribe 工具。在上一篇文章中，我们介绍了使用签名和验证证据作为验证 CI/CD 管道安全性的主要工具的理论。简短提醒一下，Scribe 提出的模型包括几个可以打乱的构建块，并且 [...]

2022 年 XNUMX 月，美国管理和预算办公室 (OMB) 发布了一份具有里程碑意义的备忘录，涉及确保软件供应链达到美国联邦政府可接受的程度所需的步骤。任何希望与政府和任何生产软件的联邦机构开展业务的公司都需要遵守 [...]