Enable javascript in your browser for better experience. Need to know to enable it? Go here.
发布于 : Mar 29, 2022
Mar 2022
评估 ? 在了解它将对你的企业产生什么影响的前提下值得探索

随着软件复杂性的不断增加,软件依赖项的威胁路径变得越来越难以守护。最近的 Log4J 漏洞表明了解这些依赖关系有多困难——许多没有直接使用 Log4J 的公司在不知不觉中就变得脆弱,因其生态系统中的其他软件依赖于 Log4J。软件工件供应链层级,又称 SLSA(读作 “salsa”),是一个由联盟组织策划的,为组织机构提供防范供应链攻击的指南集。该框架衍生于一个 Google 多年来一直使用的内部指南。值得称赞的是,SLSA 并没有承诺提供“银弹”,即仅使用工具确保供应链安全的方法,而是提供了一个基于成熟度模型的具体威胁和实践的清单。这个威胁模型 是很容易理解的,其中包含了真实世界发生的攻击实例,并且要求文档中也提供了指南,帮助组织基于日渐增强的稳健性水平为其行动措施排定优先级,以改善他们供应链的安全态势。我们认为 SLSA 提供了适用的建议,并期待更多组织机构从中学习。

Radar

下载第26期技术雷达

English | Español | Português | 中文

Radar

获取最新技术洞见

 

立即订阅

查看存档并阅读往期内容