Привет!
CNCF подготовил отличный материал по обеспечению ИБ в supply chain - Software Supply Chain Best Practices!
В прилагаемой статье рассмотрены 5 областей, на которые стоит обратить внимание:
🍭 Securing the Source Code //Доступы к SCM, создание ролевых моделей, branching, тестирование исходного кода
🍭 Securing the Materials //Использование SCA, формирование SBOM, отслеживание и управление зависимостями, управление trusted package managers и repositories
🍭 Securing the Build Pipelines //Безопасность build workers, максимальная стандартизация pipeline между проектами, реализация принципа pipeline as code
🍭 Securing the Artefacts //Подпись артефактов, защита используемых registry, использование криптографии (если/где необходимо)
🍭 Securing Deployments //Контроль целостности используемых артефактов, контроль актуальности артефактов
Материал получился обширный (45 страниц) и интересный. В статье есть как и общие рекомендации («Важно выстроить процесс управления доступом с соблюдением принципа least privilege»), так и вполне конкретные («Реализуйте commit sign»). Крайне рекомендуем к прочтению!
CNCF подготовил отличный материал по обеспечению ИБ в supply chain - Software Supply Chain Best Practices!
В прилагаемой статье рассмотрены 5 областей, на которые стоит обратить внимание:
🍭 Securing the Source Code //Доступы к SCM, создание ролевых моделей, branching, тестирование исходного кода
🍭 Securing the Materials //Использование SCA, формирование SBOM, отслеживание и управление зависимостями, управление trusted package managers и repositories
🍭 Securing the Build Pipelines //Безопасность build workers, максимальная стандартизация pipeline между проектами, реализация принципа pipeline as code
🍭 Securing the Artefacts //Подпись артефактов, защита используемых registry, использование криптографии (если/где необходимо)
🍭 Securing Deployments //Контроль целостности используемых артефактов, контроль актуальности артефактов
Материал получился обширный (45 страниц) и интересный. В статье есть как и общие рекомендации («Важно выстроить процесс управления доступом с соблюдением принципа least privilege»), так и вполне конкретные («Реализуйте commit sign»). Крайне рекомендуем к прочтению!