2024-03-05 - 点评软件供应链安全框架 in-toto 的审计结果

在笔者之前一篇关于软件供应链安全的文章中,带出了 in-toto 这个软件供应链安全框架。这个项目在 2023 年 2 月进行了项目规范及源代码审计,审计结果已公布在项目网站上。无论是开发者或网络安全管理人员,本着DevSecOps的精神都值得认真一读。

点评软件供应链安全框架 in-toto 的审计结果

笔者:国际认证信息系统审计师、软考系统分析师

前言

本篇全文近6千字,需要有软件供应链安全知识的基础。

对 in-toto 不了解的读者可以先看看笔者之前的软件供应链文章:

软件供应链安全继续强化:SBOM清单基座规范SBOMit启动制订

in-toto 的审计结果和审计报告发布在如下网址:

in-toto | Security Audit '23

https://in-toto.io/security-audit-23/

https://in-toto.io/2023-security-audit-report.pdf

......点击查看详细内容

最新发表
黑客对 Ubiquiti EdgeOS 路由器的入侵卷土重来2024-03-13 黑客对 Ubiquiti EdgeOS 路由器的入侵卷土重来在国内颇受欢迎被大量部署使用的Ubiquiti路由器,可能会被僵尸网络的大规模入侵所波及。这距离上一次执法机构成功破坏僵尸网络还不够两个月。
点评软件供应链安全框架 in-toto 的审计结果2024-03-05 点评软件供应链安全框架 in-toto 的审计结果软件供应链安全框架项目 in-toto 进行了项目规范及源代码审计并公布了审计结果,无论是开发者或网络安全管理人员,本着DevSecOps的精神都值得认真一读。
网络运维及安全基础:MAC地址安全管理之二2024-03-02 网络运维及安全基础:MAC地址安全管理之二MAC地址的安全管理之所以重要,是因为MAC地址位于网络层,是物理环境和以太环境的连接。MAC的安全管理,往下层走和物理设备相关,往上层走与IP地址和协议相关。
开源杀毒软件 ClamAV 1.3.0 新版释出,支持解析检查 Microsoft OneNote 附件2024-02-22 开源杀毒软件 ClamAV 1.3.0 新版释出,支持解析检查 Microsoft OneNote 附件笔者一向比较关注 ClamAV 的发展,一方面源于自己对恶意代码攻防技术的关注,另一方面是 ClamAV 是唯一的开源杀毒软件。根据ClamAV的博客,在2月7日,1.3.0 新版已经正式释出,同时释出的还有1.2.2 和 1.0.5 两个安全补丁版本。官方提醒用户 1.1 版的生命周期已经终结,用户应转用1.0 LTS、1.2或1.3版。
龙年新作:MAC地址厂商双向查询功能上线!2024-02-12 龙年新作:MAC地址厂商双向查询功能上线!WaveCN.com 网站界面改版,上线MAC地址与注册厂商的双向查询功能!欢迎反馈使用建议!
用户如何看待和防范小型家用路由器频繁被劫持利用?2024-02-06 用户如何看待和防范小型家用路由器频繁被劫持利用?SOHO 路由器的用量相当大,一旦被发现存在漏洞,就会在互联网上形成大范围的安全隐患,黑客甚至可以编写机器人软件实现自动查找、劫持和利用 SOHO 路由器发起更多攻击,用户自己还懵然不知。
网络运维及安全基础:MAC地址全面介绍之一2024-01-28 网络运维及安全基础:MAC地址全面介绍之一网络上虽然有不少关于 MAC 地址的科普内容,但都不完整甚至已经过时,知识需要不断更新。
软件供应链安全继续强化:SBOM清单基座规范SBOMit启动制订2024-01-21 软件供应链安全继续强化:SBOM清单基座规范SBOMit启动制订开源安全基金会(OpenSSF,Open Source Security Foundation)在2023年12月启动了软件供应链安全规范 SBOMit,为软件物料清单 SBOM 添加了全过程校验的实现。
甲方应如何检查和缓解供应链攻击风险?2024-01-13 甲方应如何检查和缓解供应链攻击风险?太阳风事件无疑是供应链攻击事件中影响最深远的一例。那么如果要防范供应链攻击,要怎样做?
新年新版本!网站安全度评估工具 MDN Observatory 即将推出 2.02024-01-02 新年新版本!网站安全度评估工具 MDN Observatory 即将推出 2.0笔者是Firefox的重度用户,自然也关注Mozilla推出的各种工具,比如即将推出2.0版本的 MDN Observatory。
微软安全合规工具包SCT及安全基线更新2023-12-25 微软安全合规工具包SCT及安全基线更新在较早之前介绍过微软的安全合规工具包SCT。最近SCT发布了更新,于是简单地老调重弹一下看看更新了什么。
因为网络安全事件报告而要关注什么技术领域?答案是DFIR。2023-12-21 因为网络安全事件报告而要关注什么技术领域?答案是DFIR。数字取证与事件响应(DFIR)是网络安全的重要细分领域。工欲善其事必先利其器,SIFT 工作站就是用于这个领域的公共且免费的工具。
甲方人员角度解读网络安全事件报告管理办法(征求意见稿)2023-12-14 甲方人员角度解读网络安全事件报告管理办法(征求意见稿)笔者的多年经验,对网络安全事件1小时内上报的要求相当熟悉:该时限要求终于上升为底线级别的网络安全管理要求了。
解读 GB/T 42446 《信息安全技术 网络安全从业人员能力基本要求》2023-12-07 解读 GB/T 42446 《信息安全技术 网络安全从业人员能力基本要求》之前提到过 GB/T 42446 《信息安全技术 网络安全从业人员能力基本要求》这份对甲方网络安全等级保护工作可能会构成新的要求的推荐性标准。随着标准正式实施,要先做好对标准条文的阅读理解。
基于安全审计思维规划缓解内网自建软件仓库的风险2023-11-30 基于安全审计思维规划缓解内网自建软件仓库的风险好久没写基础设施建设运维的内容。前不久提到了基础设施迁移,有些很基础的事情确实值得重温一下,比如在内网自建软件仓库的过程。
微信订阅号二维码
更多内容
  •  2023-11-30 基于安全审计思维规划缓解内网自建软件仓库的风险
  •  2023-11-22 勒索软件团伙为了让受害者掏钱,居然直接报告给监管部门
  •  2023-11-20 从审计角度看SEC诉太阳风公司及其网络安全责任人
  •  2023-11-04 CIS 停止向中国区提供托管 CSAT 和 BIA 工具服务
  •  2023-11-02 甲方需要实施持续的网络安全审计
  •  2023-10-24 等级保护的审计管理员究竟如何定位?
  •  2023-10-18 等级保护的审计管理员责任大吗?
  •  2023-10-05 openEuler 安装配置 Dovecot 邮件服务器排障
  •  2023-10-03 龙蜥 Anolis Linux 23 源代码编译安装 Dovecot