软件供应链安全

Table of contents

什么是软件供应链安全 (SSCS)？

SSCS 包含旨在保护软件开发整个生命周期的实践和策略，从初始代码创建到部署和维护。它专注于保护所有组件，包括代码、依赖项、构建流程和分发渠道，以防止恶意行为者破坏软件供应链。鉴于对开源库和第三方组件的依赖日益增加，确保这些元素的完整性和安全性至关重要。

由于针对软件供应链的复杂网络攻击日益增多，SSCS 的重要性也随之提升。最近发生的事件以及对开源组件漏洞的利用，凸显了实施强大供应链安全措施的关键需求。软件生命周期任何阶段的破坏都可能导致广泛的漏洞、数据泄露和重大财务损失。

Docker 加固镜像 (DHI) 是专门构建的容器镜像，其核心设计注重安全性，旨在应对现代软件供应链安全的挑战。通过将 DHI 集成到您的开发和部署流水线中，您可以通过以下特性增强组织的 SSCS 态势：

最小化攻击面：DHI 被设计为超精简，剥离不必要的组件，并将攻击面减少高达 95%。这种无发行版的方法最大限度地减少了恶意行为者的潜在入口点。
加密签名和来源证明：每个 DHI 都经过加密签名，确保其真实性和完整性。构建来源证明得到维护，提供镜像来源和构建过程的可验证证据，符合 SLSA（软件制品供应链级别）等标准。
软件物料清单 (SBOM)：DHI 包含一个全面的 SBOM，详细列出镜像中的所有组件和依赖项。这种透明度有助于漏洞管理和合规性跟踪，使团队能够有效评估和缓解风险。
持续维护和快速 CVE 修复：Docker 通过定期更新和安全补丁维护 DHI，并针对关键和高严重性漏洞提供 SLA 支持。这种主动方法有助于确保镜像保持安全并符合企业标准。