在笔者之前一篇关于软件供应链安全的文章中,带出了 in-toto 这个软件供应链安全框架。这个项目在 2023 年 2 月进行了项目规范及源代码审计,审计结果已公布在项目网站上。无论是开发者或网络安全管理人员,本着DevSecOps的精神都值得认真一读。
笔者:国际认证信息系统审计师、软考系统分析师
本篇全文近6千字,需要有软件供应链安全知识的基础。
对 in-toto 不了解的读者可以先看看笔者之前的软件供应链文章:
软件供应链安全继续强化:SBOM清单基座规范SBOMit启动制订
in-toto 的审计结果和审计报告发布在如下网址:
in-toto | Security Audit '23