軟體供應鏈安全

術語“軟體供應鏈”是指從開發到部署和維護的軟體開發和交付的端到端過程。軟體供應鏈安全，簡稱“S3C”，是指保護供應鏈元件和流程的實踐。

S3C 是組織如何看待軟體安全性的根本性轉變。傳統上，在軟體行業中，安全性和合規性通常是事後才想到的，留給軟體交付或釋出階段。透過 S3C，安全性被整合到整個軟體開發生命週期中，從開發和測試的內部迴圈到釋出和監控的外部迴圈。

遵循軟體供應鏈行為的行業最佳實踐非常重要，因為它有助於組織保護其軟體免受安全威脅、合規性風險和其他漏洞的侵害。實施軟體供應鏈安全框架可提高專案跨利益相關者的可見性、協作和可追溯性。這有助於組織更有效地檢測、響應和修復威脅。

保護軟體供應鏈

構建安全的軟體供應鏈涉及幾個關鍵步驟，例如

管理軟體供應鏈是一項複雜的任務，尤其是在現代，軟體使用來自不同來源的多個元件構建的情況下。組織需要清楚地瞭解他們使用的軟體元件及其相關的安全風險。

Docker Scout 是一個平臺，旨在幫助組織保護其軟體供應鏈。它提供工具和服務來識別和管理軟體資產和策略，以及安全威脅的自動化修復。

與專注於軟體開發生命週期中特定階段的定期、特定時間點掃描的傳統安全工具不同，Docker Scout 使用現代事件驅動模型，涵蓋整個軟體供應鏈。這意味著當發現影響您的映像的新漏洞時，您更新的風險評估會在幾秒鐘內（在開發過程的更早期）提供。

Docker Scout 透過分析您映像的組成來建立軟體物料清單 (SBOM)。SBOM 與安全公告交叉引用，以識別影響您的映像的 CVE。Docker Scout 集成了超過 20 種不同的安全公告，並即時更新其漏洞資料庫。這確保您的安全態勢使用最新的可用資訊進行表示。