軟體供應鏈安全性

「軟體供應鏈」是指從開發到部署和維護，開發和交付軟體的端到端流程。軟體供應鏈安全性（簡稱「S3C」）是指保護供應鏈組件和流程的實務做法。

S3C 是組織處理軟體安全性的根本性變革。傳統上在軟體產業中，安全性和合規性大多是事後才想到的，留待軟體交付或發布階段處理。有了 S3C，安全性便整合到整個軟體開發生命週期中，從開發和測試的內環到交付和監控的外環。

遵循軟體供應鏈行為的產業最佳實務非常重要，因為它可以幫助組織保護其軟體免受安全威脅、合規性風險和其他漏洞的侵害。實施軟體供應鏈安全框架可以提高專案在所有利害關係人之間的可見性、協作性和可追溯性。這有助於組織更有效地偵測、應對和修復威脅。

保護軟體供應鏈安全

構建安全的軟體供應鏈涉及幾個關鍵步驟，例如：

管理軟體供應鏈是一項複雜的任務，尤其是在現代，軟體是由來自不同來源的多個組件構建而成。組織需要清楚地了解他們使用的軟體組件以及與之相關的安全風險。

Docker Scout 是一個旨在幫助組織保護其軟體供應鏈安全的平台。它提供了用於識別和管理軟體資產和策略的工具和服務，以及自動修復安全威脅。

與傳統的安全工具（專注於在軟體開發生命週期的特定階段進行排程的、定點掃描）不同，Docker Scout 使用涵蓋整個軟體供應鏈的現代事件驅動模型。這表示當公開影響映像的新漏洞時，您可以在幾秒鐘內獲得更新的風險評估，並且在開發過程中更早獲得。

Docker Scout 的工作原理是分析映像的組成，以創建軟體物料清單 (SBOM)。SBOM 會與安全公告交叉比對, 以識別影響映像的 CVE。Docker Scout 與超過 20 個不同的安全公告整合，並即時更新其漏洞資料庫。這可確保您的安全狀態使用最新的可用資訊來呈現。