软件供应链安全

术语“软件供应链”是指从开发到部署和维护的软件开发和交付的端到端过程。软件供应链安全，简称“S3C”，是指保护供应链组件和流程的实践。

S3C 是组织如何看待软件安全性的根本性转变。传统上，在软件行业中，安全性和合规性通常是事后才想到的，留给软件交付或发布阶段。通过 S3C，安全性被集成到整个软件开发生命周期中，从开发和测试的内部循环到发布和监控的外部循环。

遵循软件供应链行为的行业最佳实践非常重要，因为它有助于组织保护其软件免受安全威胁、合规性风险和其他漏洞的侵害。实施软件供应链安全框架可提高项目跨利益相关者的可见性、协作和可追溯性。这有助于组织更有效地检测、响应和修复威胁。

保护软件供应链

构建安全的软件供应链涉及几个关键步骤，例如

管理软件供应链是一项复杂的任务，尤其是在现代，软件使用来自不同来源的多个组件构建的情况下。组织需要清楚地了解他们使用的软件组件及其相关的安全风险。

Docker Scout 是一个平台，旨在帮助组织保护其软件供应链。它提供工具和服务来识别和管理软件资产和策略，以及安全威胁的自动化修复。

与专注于软件开发生命周期中特定阶段的定期、特定时间点扫描的传统安全工具不同，Docker Scout 使用现代事件驱动模型，涵盖整个软件供应链。这意味着当发现影响您的映像的新漏洞时，您更新的风险评估会在几秒钟内（在开发过程的更早期）提供。

Docker Scout 通过分析您映像的组成来创建软件物料清单 (SBOM)。SBOM 与安全公告交叉引用，以识别影响您的映像的 CVE。Docker Scout 集成了超过 20 种不同的安全公告，并实时更新其漏洞数据库。这确保您的安全态势使用最新的可用信息进行表示。