CNCF社区首个！KubeEdge达到软件供应链SLSA L3等级

【CNCF社区首个！KubeEdge达到软件供应链SLSA L3等级】的更多相关文章

Kubernetes 时代的安全软件供应链

点击下载<不一样的双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者汤志敏阿里云容器服务高级技术专家汪圣平阿里云云平台安全高级安全专家导读:从 Docker image 到 Helm, 从企业内部部署到全球应用分发,作为开发者的我们如何来保障应用的交付安全.本文会从软件供应链的攻击场景开始,介绍云原生时代的应用交付标准演进和阿里云上的最佳实践. "没有集装箱,就不会有全…

CNCF 旗下首个为中国开发者量身打造的云原生课程，《CNCF x Alibaba 云原生技术公开课》即将上线

伴随着以 Kubernetes 为代表的云原生技术体系的日益成熟以及 CNCF 生态的逐渐壮大,“云原生”已然成为了未来云计算时代里一个当仁不让的关键词.但是,到底什么是“云原生”?云原生与 CNCF.Kubernetes 又是什么关系呢?云原生的技术浪潮已经来袭,作为云计算时代的开发者和从业者,我们又该如何将云原生技术在自己所在的组织中落地.在这次名为“云原生”的技术革命中站稳脚跟呢? 作为这个“云原生”技术社区多年的亲历者和实践者,我们深知让技术真正触达每一位开发者的心智绝非易事.为此,我们…

CSO视角：Sigstore如何保障软件供应链安全？

本文作者 Chris Hughes,Aquia的联合创始人及CISO,拥有近20年的网络安全经验. SolarWinds 和 Log4j 等影响广泛的软件供应链攻击事件引起了业界对软件供应链安全的关注.许多企业开始让安全团队选型安全工具,以确保第三方软件的安全性.软件的使用无处不在,根据世界经济论坛(WEF)的数据,数字化平台占据了GDP的60%.尽管我们当前使用软件的方式正在改变世界,但目前依旧欠缺方法来保护整个软件供应链的安全.软件供应链通常不使用数字签名,或者使用传统的数字签名,这对于自动…

基于 Docker 的现代软件供应链

[编者按]本文作者为 Marc Holmes,主要介绍一项关于现代软件供应链的调查结果.本文系国内 ITOM 管理平台 OneAPM 编译呈现,以下为正文. 3 月初,为了了解软件供应链的现状以及 Docker 在软件供应链发展中所起的作用,我们广泛调查了对 Docker 感兴趣的人群.今天上午,我们很高兴在此公布该调查的结果,您也可以点击此处获取报告详情. 调查方法在此次调查中,我们采访了部署容器技术各个阶段的人员,并收到了 500 多位调查对象的反馈结果.他们都是从事开发和运维工作的专业技…

OpenSSF安全计划：SBOM将驱动软件供应链安全

在软件成分分析(SCA)一文中,我们简单提到软件物料清单(SBOM)在安全实践中的价值. 本期文章将带你深入了解 "SBOM 无处不在"计划是什么,以及 SBOM 对未来软件供应链安全和开源生态系统的重要性. 开源软件安全基金会(OpenSSF)发布了一项动员计划,以提高开源软件(OSS)的适应性和安全性. 现代软件供应链之所以广泛使用 OSS,是因为它提供了更快的创新和更高质量的产品,但由于 OSS 组件固有的漏洞,其广泛采用会伴随一定风险. 该计划的一个重要部分是使用软件物料清单…

SLSA 框架与软件供应链安全防护

随着软件供应链攻击浪潮愈演愈烈,Google 发布了一系列指南来确保软件包的完整性,旨在防止影响软件供应链的未经授权的代码修改.新的 Google SLSA 框架(Supply-chain Levels for Software Artifacts 软件构件的供应链级别)通过识别 CI/CD 流水线中的问题并减小影响,为企业实现更安全的软件开发和部署流程提供建议. Google 的 SLSA 框架 SLSA 是一个端到端框架,旨在确保软件开发和部署过程的安全性,专注于缓解由于篡改源代码…

EPSS 解读：与 CVSS 相比，孰美？

通用漏洞评分系统(CVSS)是当前应用最频繁的评分系统以评估安全漏洞的严重性.但是,由于该系统在评估漏洞和优先级排序方面存在不足而遭受批评.因此,有部分专业人士呼吁使用漏洞利用预测评分系统(EPSS)或将 CVSS 与 EPSS 结合来推动漏洞指标变得更加可执行和高效.与 CVSS 一样,EPSS 由国际网络安全应急论坛组织(FIRST)来管理. EPSS 是什么? EPSS 以开放.数据导向为主要特点,旨在评估一个软件漏洞可以被利用的概率.CVSS 则聚焦于漏洞的内在特征,最终生成一个严重性评…