软件供应链安全 (Software Supply Chain Assurance)
Harness 软件供应链安全 (SSCA) 模块帮助组织确保软件从构建到部署的整个供应链的安全性和完整性。核心功能
供应链可视化
- 依赖图谱:可视化软件组件的依赖关系
- SBOM 生成:生成标准化的软件物料清单(SBOM)
- 来源追踪:追踪每个组件的来源和版本
- 变更追踪:记录供应链中的所有变更
完整性保证
- 签名验证:验证容器镜像和构件的签名
- 策略执行:强制执行供应链安全策略
- 门禁控制:在关键节点验证完整性
- 异常检测:识别可疑的供应链活动
合规支持
- 行业标准:符合 SLSA、NIST SSDF 等标准
- 框架映射:将安全措施映射到合规框架
- 审计报告:生成符合监管要求的报告
- 持续监控:持续评估供应链合规状态
供应链安全层级
SSCA 遵循 SLSA(Supply chain Levels for Software Artifacts)框架:| 级别 | 要求 | SSCA 支持 |
|---|---|---|
| L1 | 构建过程有记录 | ✅ 完整构建日志 |
| L2 | 构建来源可信 | ✅ 来源验证 |
| L3 | 防止非法修改 | ✅ 签名和策略 |
| L4 | 防止特权升级 | ✅ 完整审计追踪 |
适用场景
| 场景 | SSCA 功能 |
|---|---|
| 容器安全 | 镜像签名和验证 |
| 依赖安全 | 第三方组件漏洞扫描 |
| 合规审计 | 生成合规报告 |
| 来源证明 | 证明软件来源 |
快速开始
1. 配置供应链策略
定义供应链安全策略:2. 集成构建流水线
在 CI 流水线中集成 SSCA 检查。3. 生成 SBOM
为软件生成标准化的物料清单:4. 验证供应链
在部署前验证供应链完整性。5. 生成合规报告
导出符合监管要求的供应链报告。与其他模块集成
- CI:在构建阶段进行供应链检查
- CD:在部署前验证供应链完整性
- STO:结合安全扫描确保组件安全
最佳实践
- 最小依赖:只依赖必要的组件
- 来源验证:验证所有第三方组件的来源
- 签名所有内容:对构建产物进行签名
- 持续监控:持续监控依赖中的漏洞
- 文档化:保持供应链活动的完整记录
合规框架
SSCA 支持多种合规框架的映射:| 框架 | 说明 |
|---|---|
| SLSA | 软件供应链安全等级 |
| NIST SSDF | 安全软件开发框架 |
| EO 14028 | 美国行政令 14028 |
| PCI-DSS | 支付卡行业数据安全标准 |