第七章 现有和新兴商业指南

  随着软件供应链攻击的增加，很明显，需要一个全面的端到端框架来定义软件供应链袭击和缓解方法。2021年6月，谷歌开源安全团队推出了软件工件（SLSA）工作该工作的目标是确保软件工件的完整性在整...

  在SLSA框架的一个巧妙命名的后续行动中，谷歌与花旗和普渡大学等合作伙伴还宣布了一项名为“理解工件组成图”（GUAC）的开源软件（OSS）工作，如图7.5所示。根据他们的声明，“GUAC解决...

随着行业不断成熟的软件供应链实践，我们看到了NIST、开源安全基金会（OpenSSF）和互联网安全中心（CIS）等组织的指导。在本节中，我们将讨论最近发布的CIS软件供应链安全指南（https:...

在有关软件供应链安全的讨论中经常引用的另一个行业指导来源是 CNCF 的软件供应链最佳实践白皮书 https://github.com/cncf/tag-security/blob/main/s...

  对许多人来说，将软件生产与工厂这一术语联系起来可能看起来有些奇怪。大多数人仍将工厂与收集、处理和制造物理材料如钢铁、汽车或消费电子产品联系在一起。然而，讽刺的是，现代大多数工厂环境的运作依赖...

  作为开源软件（OSS）的主要贡献者和消费者之一，微软推出了一个名为安全供应链消费框架（Secure Supply Chain Consumption Framework，S2C2F）的软件供...

  如前所述，S2C2F包括一系列解决方案和供应商无关的实践，这些实践可以帮助组织确保其开源软件供应链的安全使用。合规、安全、工程管理人员以及首席信息安全官（CISO）等领导者可以参考这些实践，...

如图 7.12 所示，与 SLSA 等其他框架一样，S2C2F 也围绕四个成熟度级别展开，从最基本的开放源码软件治理一直到高级威胁防御，每个级别都有自己的相关活动。 第1 级包括基本活动，如内部...

与 NIST 的安全软件开发框架（SSDF）等由政府组织创建的框架不同，OWASP 的软件组件验证标准（SCVS）是一项由社区推动的工作，重点关注软件供应链。它主要通过确定可在整个软件供应链生命...

每个人都知道Marc Andreessen在十多年前提出的“软件正在吞噬世界”(https://a16z.com/2011/08/20/why-softw-is-eating-the-world...

虽然开源软件提供了巨大的好处，但许多关注和研究发现，自由/开源软件开发人员在很大程度上没有优先考虑安全性。Linux基金会的OpenSSF和哈佛大学创新科学实验室的一项研究发现，自由/开源软件开...

在本章中，我们讨论了现有的和新兴的软件供应链安全指南。这包括SLSA的努力以及来自微软、CNCF和其他机构的资源。在下一章中，我们将讨论来自政府实体的现有和新出现的指导意见。