作者:Marina Moore
在 2023 年,软件供应链攻击的损失超过了 450 亿美元,预计到 2026 年将超过 800 亿美元。软件供应链攻击发生在软件的生产材料或过程受到破坏时,导致针对下游用户的漏洞。CNCF 安全技术顾问组(TAG)维护着已知供应链攻击的详细目录[1],展示了这一领域的范围。为了提供相关指导,TAG 安全团队发布了软件供应链最佳实践白皮书的新版本。
第一版软件供应链最佳实践白皮书提高了人们对这一问题的认识,并提供了当时的最佳实践指导。该白皮书被包括NIST SSDF[2]在内的多个知名团体引用。
自第一版白皮书发布以来,行业中新工具的出现和现有工具的应用迅速增长,尤其是在软件供应链安全方面。特别是认证和软件物料清单(SBOM)的使用日益成熟,相关工具的生成和使用都有了显著改进。同时,针对软件供应链的潜在攻击范围的认识也在提升,许多组织开始采纳最佳实践。云原生生态系统中的项目审计也包括了对其软件供应链安全状况的评估[3]。
为了在原版白皮书的基础上继续发展,并反映软件供应链安全日益成熟的生态系统,我们对白皮书进行了较大的修改,推出了新版本。更新内容包括对不同用户角色的探讨,这些角色可能希望了解软件供应链安全的特定方面。新版本还更新了最佳实践建议,以反映当前生态系统的状态。
如需了解更多信息,欢迎阅读该白皮书[4]!
详细目录: https://tag-security.cncf.io/community/catalog/compromises/
[2]NIST SSDF: https://csrc.nist.gov/projects/ssdf
[3]软件供应链安全状况的评估: https://www.cncf.io/blog/2023/04/19/building-secure-software-supply-chains-in-cncf-with-slsa-assessments/
[4]白皮书: https://github.com/cncf/tag-security/blob/main/community/working-groups/supply-chain-security/supply-chain-security-paper-v2/SSCBPv2.md
点击【阅读原文】阅读网站原文。
CNCF概况(幻灯片)
扫描二维码联系我们!
CNCF (Cloud Native Computing Foundation)成立于2015年12月,隶属于Linux Foundation,是非营利性组织。
CNCF(云原生计算基金会)致力于培育和维护一个厂商中立的开源生态系统,来推广云原生技术。我们通过将最前沿的模式民主化,让这些创新为大众所用。请关注CNCF微信公众号。
