要 确保软件供应链的安全 ，需要在人员、流程和技术方面进行分层保护。主要做法包括组件可见性：生成并维护 SBOM 以跟踪依赖关系。漏洞管理：扫描开源和第三方组件，查找已知漏洞。依赖治理：阻止有风险或未经批准的软件包进入代码库。构建完整性：保护 CI/CD 管道免遭篡改或凭证盗窃。政策执行：自动进行安全检查，以满足合规性和监管标准。持续监控：检测并应对新出现的威胁。

联系我们相关产品

概述

软件供应链安全是保护构成软件开发和交付生命周期的组件、工具、流程和服务的实践。它能确保从开源库到构建系统和部署管道的每个要素都是可信、不可篡改和合规的。

软件供应链安全

软件供应链安全为何重要？

现代应用程序很少是完全从零开始构建的。相反，它们在很大程度上依赖于开源库、第三方代码、应用程序接口和基础架构即代码模板。这在加速创新的同时，也带来了新的风险。

最近备受瞩目的攻击（如 SolarWinds 和 Log4j）凸显了对手如何利用供应链的弱点，同时渗透到成千上万的组织中。如果没有适当的保障措施，企业将面临

暴露于恶意或易受攻击的第三方组件。
受损的构建管道或CI/CD 工具带来的风险。
与软件物料清单 (SBOM) 有关的合规故障。
云原生和容器化环境的攻击面增加。

软件供应链安全可帮助企业在整个软件生态系统中获得可见性、验证完整性并实施控制。

它是如何工作的？

要确保软件供应链的安全，需要在人员、流程和技术方面进行分层保护。

主要做法包括

组件可见性：生成并维护 SBOM 以跟踪依赖关系。
漏洞管理：扫描开源和第三方组件，查找已知漏洞。
依赖治理：阻止有风险或未经批准的软件包进入代码库。
构建完整性：保护 CI/CD 管道免遭篡改或凭证盗窃。
政策执行：自动进行安全检查，以满足合规性和监管标准。
持续监控：检测并应对新出现的威胁。

软件供应链安全的好处

透明度：通过 SBOM，准确了解应用程序中的内容。
降低风险：防止利用脆弱或恶意的依赖关系。
合规支持：满足政府和行业要求，包括 14028 号行政命令。
业务复原力：确保构建系统和管道安全可信。
业务连续性：限制潜在危害的爆炸半径。
供应链攻击预防：通过及早检测恶意组件和保护构建流水线免受攻击，减少遭受威胁的风险。
确保软件供应链安全：通过验证依赖关系、SBOM 和交付流程，确保信任和弹性贯穿开发的每个阶段。

利用 OpenText 应用程序安全保障软件供应链安全

OpenText 提供企业级供应链安全，作为其应用程序安全平台的一部分，包括

软件构成分析 (SCA)：识别并修复开源和第三方代码中的风险。
SBOM 管理：生成、跟踪和验证物料清单，以确保合规性和透明度。
版本库保护：利用版本库防火墙和高级法律包（OEM）等解决方案阻止不安全的组件。
CI/CD 集成：通过自动策略检查和协调确保构建管道安全。
人工智能增强：使用OpenText™ Application Security Aviator™来减少噪音，加快对各种发现的修复。

主要启示

软件供应链安全可确保开发生命周期中每个组件和流程的完整性，保护应用程序和业务免受大范围、高影响的攻击。