Безопасность цепочки поставок ПО
Что такое Безопасность цепочки поставок ПО?
Безопасность цепочки поставок ПОДисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
Безопасность цепочки поставок ПО рассматривает код не как написанный с нуля, а как собранный из множества источников. Она охватывает защиту репозиториев, идентичности разработчиков, безопасный CI/CD, курирование зависимостей, формирование SBOM и CBOM, подпись и верификацию (Sigstore, Cosign, in-toto), подписанный provenance по SLSA, управление уязвимостями и секретами и применение политик при деплое. Дисциплина оформилась после инцидентов SolarWinds, Codecov, Log4Shell, XZ Utils и кампаний dependency confusion. Ключевые рамки — SLSA, NIST SSDF (SP 800-218), CISA Secure by Design, Указ США 14028 и Cyber Resilience Act в ЕС — все они сходятся к подписанным, верифицируемым и прозрачным конвейерам.
● Примеры
- 01
Сквозной подписанный конвейер с SLSA L3 provenance и развёртываниями, верифицируемыми Cosign.
- 02
Курируемый внутренний пакетный прокси в связке с реагированием на уязвимости на основе SBOM.
● Частые вопросы
Что такое Безопасность цепочки поставок ПО?
Дисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Безопасность цепочки поставок ПО?
Дисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
Как защититься от Безопасность цепочки поставок ПО?
Защита от Безопасность цепочки поставок ПО обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность цепочки поставок ПО?
Распространённые альтернативные названия: Безопасность цепочки поставок ПО.