Mudança na segurança: proteção de cadeias de suprimentos de software
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Este whitepaper se concentra nos processos, ferramentas, práticas e técnicas que
aumentam a confiança no ciclo de vida de desenvolvimento do software (SDLC, na sigla em inglês) ao atenuar
questões de risco de segurança. Ele aborda como aumentar a proteção dos pipelines de integração contínua e
entrega contínua (CI/CD), apresentando as práticas recomendadas para código-fonte,
infraestrutura de criação e empacotamento, artefatos de software, armazenamento de artefatos
e infraestrutura de exibição e implantação de artefatos.
Este documento destina-se a leitores interessados em coletar feedback
rápido ao promover a exposição a vulnerabilidades de segurança. O documento usa como
exemplos de imagens de VM e contêineres projetados para o Kubernetes, mas os princípios são
aplicáveis a todos os pipelines de desenvolvimento de software que consistem em fases de criação e
implantação, incluindo aplicativos sem servidor e de
plataformas como serviço (PaaS).
Visão geral
Este whitepaper descreve o seguinte:
Como a confiança é adquirida progressivamente por meio do pipeline de CI/CD e usada para mitigar os riscos de segurança
Métodos para proteger o código-fonte de explorações
Técnicas que aumentam a confiança durante o processo de criação e empacotamento
Mecanismos automatizados para aumentar a confiança em artefatos criados e empacotados antes da implantação
Como estabelecer ainda mais a confiança com implantações de código de ambiente controlado
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-01 UTC."],[],[],null,["# Shifting left on security: Securing software supply chains\n\nThis whitepaper focuses on the processes, tools, practices, and techniques that\nincrease confidence in the software development lifecycle (SDLC) by mitigating\nsecurity-risk concerns. It discusses how to improve security of continuous\nintegration and continuous delivery (CI/CD) pipelines by introducing best\npractices for source code, build and packaging infrastructure, software\nartifacts, artifact storage and serving infrastructure, and artifact deployment.\n\nThis document is intended for readers interested in collecting fast feedback\nwhen appraising exposure to security vulnerabilities. Though the document uses\nas examples VM images and containers designed for Kubernetes, the principles are\napplicable to all software development pipelines consisting of build and\ndeployment phases, including serverless applications and platform-as-a-service\n(PaaS) applications.\n\nOverview\n--------\n\nThis whitepaper outlines the following:\n\n- How trust is progressively acquired through the CI/CD pipeline and used to mitigate security risks\n- Methods to protect source code from exploits\n- Techniques that increase trust during the build and packaging process\n- Automated mechanisms to increase trust in built artifacts and packaged artifacts before deployment\n- How to further establish trust through controlled-environment code deployments\n\nTo read the full whitepaper, click the button:\n\n[Download the PDF](/static/files/shifting-left-on-security.pdf)"]]
