Что такое сквозная цепочка поставок?
Защиты сквозной цепочки поставок программного обеспечения заключается в том, чтобы не допустить вмешательства в распространяемый код. Раньше злоумышленники концентрировались на применяемых пользователями зависимостях, таких как библиотеки и платформы. Теперь они расширили сферу внимания и начали воздействовать на учетные записи пользователей и процессы сборки, а значит эти системы тоже нужно защищать.
Сведения о функциях в GitHub, которые помогут защитить зависимости, см. в разделе Сведения о безопасности цепочки поставок.
Об этих руководствах
В этой серии руководств рассказывается, как защищать сквозную цепочку поставок — личную учетную запись, код и процессы сборки. В каждом руководстве объясняется риск для этой области и представлены функции GitHub , которые помогут вам устранить этот риск.
Поскольку задачи могут быть разными, каждое руководство начинается с наиболее важного изменения, после чего обсуждаются дополнительные возможное доработки. Необязательно использовать все — сосредоточьтесь на тех улучшениях, которые, по вашему мнению, принесут максимальную пользу. Главная цель состоит не в том, чтобы сделать все сразу, а в том, чтобы постоянно укреплять защиту ваших систем с течением времени.
-
[AUTOTITLE](/code-security/supply-chain-security/end-to-end-supply-chain/securing-accounts) -
[AUTOTITLE](/code-security/supply-chain-security/end-to-end-supply-chain/securing-code) -
[AUTOTITLE](/code-security/supply-chain-security/end-to-end-supply-chain/securing-builds)
Дополнительные материалы
-
[Защита целостности артефактов в любой цепочке поставок программного обеспечения](https://slsa.dev/) -
[Модель обеспечения целостности цепочки поставок Майкрософт](https://github.com/microsoft/scim) -
[Документ по защите цепочки поставок программного обеспечения — группа технических рекомендаций по безопасности CNCF](https://github.com/cncf/tag-security/blob/main/community/working-groups/supply-chain-security/supply-chain-security-paper/CNCF_SSCP_v1.pdf)