Secure Supply Chain
SecurityОпределение
Secure Supply Chain — это архитектурный подход, направленный на защиту всего пути создания, сборки, проверки, хранения и доставки программного обеспечения и его компонентов.
Ценность
Технология помогает снизить риск компрометации зависимостей, артефактов, процессов сборки и поставки, повысить доверие к программным компонентам и сделать инженерную цепочку поставки более прозрачной, контролируемой и безопасной.
Применение
Технология реализуется с помощью проверки зависимостей и артефактов, контроля происхождения компонентов, защиты процессов сборки и поставки, управления подписями и политиками допуска, а также связана со следующими технологиями на радаре: Software Bill of Materials, Open Source Governance, Security Engineering, Policy as Code, Static Application Security Testing, Runtime Security, Artifact Repository, GitOps, Continuous Integration, Continuous Delivery.
Контекст
Наиболее актуальна для средних и крупных технологических компаний, а также Enterprise организаций со средней и высокой инженерной зрелостью, где используется большое количество внешних библиотек, автоматизированных пайплайнов, контейнерных образов и платформенных зависимостей, а требования к безопасности и прослеживаемости поставки становятся критичными.
Зрелость
Относится к уровню Adopt, потому что этот архитектурный подход уже доказал практическую ценность как необходимая основа современной безопасности разработки и поставки, а его системное применение позволяет существенно снизить риски компрометации программной цепочки поставки.