Что такое сквозная цепочка поставок?
Защиты сквозной цепочки поставок программного обеспечения заключается в том, чтобы не допустить вмешательства в распространяемый код. Раньше злоумышленники концентрировались на применяемых пользователями зависимостях, таких как библиотеки и платформы. Теперь они расширили сферу внимания и начали воздействовать на учетные записи пользователей и процессы сборки, а значит эти системы тоже нужно защищать.
Сведения о функциях в GitHub, которые помогут защитить зависимости, см. в разделе Сведения о безопасности цепочки поставок.
Об этих руководствах
В этой серии руководств рассказывается, как защищать сквозную цепочку поставок — личную учетную запись, код и процессы сборки. В каждом руководстве рассматривается существующий в этой области риск и функции GitHub, которые помогут его смягчить.
Поскольку задачи могут быть разными, каждое руководство начинается с наиболее важного изменения, после чего обсуждаются дополнительные возможное доработки. Необязательно использовать все — сосредоточьтесь на тех улучшениях, которые, по вашему мнению, принесут максимальную пользу. Главная цель состоит не в том, чтобы сделать все сразу, а в том, чтобы постоянно укреплять защиту ваших систем с течением времени.