Безопасность цепочки поставок ПО
Что такое Безопасность цепочки поставок ПО?
Безопасность цепочки поставок ПОДисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
Безопасность цепочки поставок ПО рассматривает код не как написанный с нуля, а как собранный из множества источников. Она охватывает защиту репозиториев, идентичности разработчиков, безопасный CI/CD, курирование зависимостей, формирование SBOM и CBOM, подпись и верификацию (Sigstore, Cosign, in-toto), подписанный provenance по SLSA, управление уязвимостями и секретами и применение политик при деплое. Дисциплина оформилась после инцидентов SolarWinds, Codecov, Log4Shell, XZ Utils и кампаний dependency confusion. Ключевые рамки — SLSA, NIST SSDF (SP 800-218), CISA Secure by Design, Указ США 14028 и Cyber Resilience Act в ЕС — все они сходятся к подписанным, верифицируемым и прозрачным конвейерам.
● Примеры
- 01
Сквозной подписанный конвейер с SLSA L3 provenance и развёртываниями, верифицируемыми Cosign.
- 02
Курируемый внутренний пакетный прокси в связке с реагированием на уязвимости на основе SBOM.
● Частые вопросы
Что такое Безопасность цепочки поставок ПО?
Дисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Безопасность цепочки поставок ПО?
Дисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
Как работает Безопасность цепочки поставок ПО?
Безопасность цепочки поставок ПО рассматривает код не как написанный с нуля, а как собранный из множества источников. Она охватывает защиту репозиториев, идентичности разработчиков, безопасный CI/CD, курирование зависимостей, формирование SBOM и CBOM, подпись и верификацию (Sigstore, Cosign, in-toto), подписанный provenance по SLSA, управление уязвимостями и секретами и применение политик при деплое. Дисциплина оформилась после инцидентов SolarWinds, Codecov, Log4Shell, XZ Utils и кампаний dependency confusion. Ключевые рамки — SLSA, NIST SSDF (SP 800-218), CISA Secure by Design, Указ США 14028 и Cyber Resilience Act в ЕС — все они сходятся к подписанным, верифицируемым и прозрачным конвейерам.
Как защититься от Безопасность цепочки поставок ПО?
Защита от Безопасность цепочки поставок ПО обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность цепочки поставок ПО?
Распространённые альтернативные названия: Безопасность цепочки поставок ПО.
● Связанные термины
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts — выпущенный OpenSSF набор требований по уровням, который последовательно ужесточает практики сборки, подписи и верификации ПО для защиты от вмешательства в цепочку поставок.
- appsec№ 1068
Software Bill of Materials (SBOM)
Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей.
- appsec№ 1044
Sigstore
Open-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности.
- appsec№ 166
Безопасность CI/CD
Совокупность контролей, защищающих конвейеры непрерывной интеграции и поставки от компрометации, инъекций кода, утечки секретов и несанкционированных деплоев.
- appsec№ 870
Аттестация происхождения (Provenance Attestation)
Подписанное и машиночитаемое заявление о том, как был произведён программный артефакт — источник, сборочная система, параметры и зависимости — чтобы потребители могли доверять его происхождению.