Ein Linksruck bei der Sicherheit: Softwarelieferketten schützen
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Dieses Whitepaper befasst sich mit den Prozessen, Tools, Verfahren und Techniken, die das Vertrauen im Software Development Lifetime (SDLC) durch Minderung der Sicherheitsrisiken erhöhen. Es wird erläutert, wie Sie CI/CD-Pipelines (Continuous Integration und Continuous Delivery) durch die Einführung von Best Practices für Quellcode, Build- und Paketerstellungsinfrastruktur, Software-Artefakte, Speicher- und Bereitstellungsinfrastruktur für Artefakte und Artefaktbereitstellung besser schützen können.
Dieses Dokument richtet sich an Leser, die bei der Beurteilung der Gefährdung durch Sicherheitslücken schnell Feedback einholen möchten. Das Dokument enthält zwar Beispiele für VM-Images und -Container, die für Kubernetes entwickelt wurden, doch gelten die Grundsätze für alle Softwareentwicklungspipelines, die aus Build- und Bereitstellungsphasen bestehen. Dazu gehören serverlose Anwendungen und PaaS-Anwendungen (Platform-as-a-Service).
Übersicht
In diesem Whitepaper werden folgende Themen behandelt:
Wie Vertrauen schrittweise über die CI/CD-Pipeline gewonnen und zur Minderung von Sicherheitsrisiken verwendet wird
Methoden zum Schutz von Quellcode vor Exploits
Techniken, die das Vertrauen während des Build- und Paketerstellungsprozesses erhöhen
Automatisierte Mechanismen, die vor der Bereitstellung das Vertrauen in erstellte Artefakte und verpackte Artefakte erhöhen
Vertrauensstellung durch Codebereitstellungen in kontrollierten Umgebungen weiter ausbauen
Klicken Sie auf die Schaltfläche, um das vollständige Whitepaper zu lesen:
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-01 (UTC)."],[],[],null,["# Shifting left on security: Securing software supply chains\n\nThis whitepaper focuses on the processes, tools, practices, and techniques that\nincrease confidence in the software development lifecycle (SDLC) by mitigating\nsecurity-risk concerns. It discusses how to improve security of continuous\nintegration and continuous delivery (CI/CD) pipelines by introducing best\npractices for source code, build and packaging infrastructure, software\nartifacts, artifact storage and serving infrastructure, and artifact deployment.\n\nThis document is intended for readers interested in collecting fast feedback\nwhen appraising exposure to security vulnerabilities. Though the document uses\nas examples VM images and containers designed for Kubernetes, the principles are\napplicable to all software development pipelines consisting of build and\ndeployment phases, including serverless applications and platform-as-a-service\n(PaaS) applications.\n\nOverview\n--------\n\nThis whitepaper outlines the following:\n\n- How trust is progressively acquired through the CI/CD pipeline and used to mitigate security risks\n- Methods to protect source code from exploits\n- Techniques that increase trust during the build and packaging process\n- Automated mechanisms to increase trust in built artifacts and packaged artifacts before deployment\n- How to further establish trust through controlled-environment code deployments\n\nTo read the full whitepaper, click the button:\n\n[Download the PDF](/static/files/shifting-left-on-security.pdf)"]]
