?模塊1:軟件供應(yīng)鏈安全概述?
1.??定義與重要性?
o?什么是軟件供應(yīng)鏈�?
o?軟件供應(yīng)鏈攻擊的典型案例(SolarWinds��、Log4j等)
o?為什么軟件供應(yīng)鏈安全是數(shù)字化轉(zhuǎn)型的核心�?
2.??關(guān)鍵環(huán)節(jié)與風(fēng)險全景圖?
o?開發(fā)階段(代碼�����、依賴庫、工具鏈)
o?分發(fā)階段(包管理器��、鏡像倉庫)
o?部署階段(CI/CD管道、運行時環(huán)境)
?
?
?模塊2:常見攻擊類型與威脅建模?
1.??攻擊面分析?
o?第三方組件漏洞(NPM/PyPI惡意包)
o?構(gòu)建工具篡改(編譯器��、CI/CD投毒)
o?升級劫持(域名劫持��、中間人攻擊)
2.??威脅建模實踐?
o?STRIDE模型在供應(yīng)鏈中的應(yīng)用
o?繪制軟件供應(yīng)鏈數(shù)據(jù)流圖(DFD)
?
?
?模塊3:安全開發(fā)實踐(DevSecOps)??
1.??安全編碼與依賴管理?
o?如何選擇可信的開源組件(SCA工具:Snyk/Dependabot)
o?軟件物料清單(SBOM)生成與審計(SPDX��、CycloneDX)
2.??構(gòu)建環(huán)境加固?
o?隔離構(gòu)建環(huán)境(容器化/沙箱)
o?構(gòu)建工具簽名驗證(如GitHub Actions的認(rèn)證)
?
?
?模塊4:供應(yīng)鏈安全工具鏈?
1.??靜態(tài)與動態(tài)分析?
o?靜態(tài)應(yīng)用安全測試(SAST)工具(SonarQube/Semgrep)
o?動態(tài)分析(DAST)與交互式(IAST)工具
2.??二進制審計與溯源?
o?二進制成分分析(BCA)
o?代碼簽名與驗簽(Sigstore/Cosign)
?
?
?模塊5:合規(guī)與標(biāo)準(zhǔn)?
1.??國際標(biāo)準(zhǔn)與框架?
o?NIST SSDF(安全軟件開發(fā)框架)
o?SLSA(供應(yīng)鏈級別安全架構(gòu))分級實踐
o?ISO/IEC 27034應(yīng)用安全標(biāo)準(zhǔn)
2.??法規(guī)要求?
o?中國《網(wǎng)絡(luò)安全法》與《軟件供應(yīng)鏈安全要求》
o?美國EO 14028(改善國家網(wǎng)絡(luò)安全行政令)
?
?
?模塊6:應(yīng)急響應(yīng)與恢復(fù)?
1.??事件處理流程?
o?漏洞披露與響應(yīng)(PSIRT團隊組建)
o?供應(yīng)鏈攻擊的取證與溯源
2.??災(zāi)后復(fù)盤?
o?制定回滾與修復(fù)策略
o?案例研討:真實供應(yīng)鏈攻擊的恢復(fù)過程
?
?
?模塊7:企業(yè)級落地實踐?
1.??組織架構(gòu)與流程設(shè)計?
o?供應(yīng)鏈安全職責(zé)劃分(開發(fā)/運維/安全團隊協(xié)作)
o?供應(yīng)商安全評估問卷(VSAQ)
2.??紅隊演練?
o?模擬供應(yīng)鏈攻擊(如依賴庫投毒演練)
o?攻防對抗實戰(zhàn)(Capture The Flag場景)
?
?
?模塊8:未來趨勢與擴展?
1.??新興技術(shù)挑戰(zhàn)?
o?AI生成代碼的安全風(fēng)險
o?云原生供應(yīng)鏈安全(OCI鏡像�、Serverless函數(shù))
2.??行業(yè)協(xié)作?
o?加入OpenSSF等開源安全倡議
o?共享威脅情報(如CHAOSS數(shù)據(jù)庫)
