软件供应链安全

术语“软件供应链”指的是从开发到部署和维护的软件开发和交付的端到端过程。软件供应链安全，简称“S3C”，是保护供应链组件和流程的实践。

S3C 是组织处理软件安全方式的根本性转变。传统上，在软件行业中，安全和合规性大多是在软件交付或发布阶段才被考虑的后续事项。而采用 S3C 后，安全被集成到整个软件开发生命周期中，从开发和测试的内循环，到交付和监控的外循环。

遵循软件供应链行为的行业最佳实践非常重要，因为它有助于组织保护其软件免受安全威胁、合规风险和其他漏洞的影响。实施软件供应链安全框架可以提高项目在利益相关者之间的可见性、协作性和可追溯性。这有助于组织更有效地检测、响应和修复威胁。

保护软件供应链

构建安全的软件供应链涉及几个关键步骤，例如：

• 识别用于构建和运行应用程序的软件组件和依赖项。
• 在整个软件开发生命周期中自动化安全测试。
• 监控软件供应链以防范安全威胁。
• 实施管理软件构建方式及其包含组件的安全策略。

管理软件供应链是一项复杂的任务，尤其是在现代软件使用来自不同来源的多个组件构建的情况下。组织需要清楚地了解他们使用的软件组件以及相关的安全风险。

Docker Scout 的不同之处

Docker Scout 是一个旨在帮助组织保护其软件供应链的平台。它提供用于识别和管理软件资产及策略的工具和服务，以及安全威胁的自动修复。

与传统安全工具不同，Docker Scout 采用现代事件驱动模型，覆盖整个软件供应链，而不是在软件开发生命周期的特定阶段进行预定的、时间点的扫描。这意味着当影响您镜像的新漏洞被披露时，您可以在几秒钟内获得更新的风险评估，并且是在开发过程的更早阶段。

Docker Scout 通过分析您的镜像组成来创建软件物料清单（SBOM）。SBOM 会与安全公告进行交叉引用，以识别影响您镜像的 CVE。Docker Scout 与 超过 20 个不同的安全公告集成，并实时更新其漏洞数据库。这确保您的安全态势使用最新的可用信息来呈现。