Software supply chain становится архитектурной темой в тот момент, когда чужой код получает право собираться, подписываться и исполняться в вашем контуре.
Глава связывает SBOM, dependency hygiene, hardened CI/CD, artifact signing и provenance verification в одну линию защиты, которая снижает шанс занести риск через build и delivery path.
На интервью она помогает говорить о доверии к артефактам, third-party risk, compromised pipeline scenarios и видимости состава системы как о части архитектуры, а не только AppSec-процесса.
Практическая польза главы
Практика проектирования
Используйте материал по безопасности software supply chain и контролях сборки/доставки, чтобы формировать архитектурные security-требования до этапа реализации.
Качество решений
Проверяйте решения через модель угроз, security invariants и управляемость контролей в production, а не только через чеклист соответствия.
Interview articulation
Стройте ответ в формате threat -> control -> residual risk, показывая связь между бизнес-сценарием и техническими мерами защиты.
Trade-off framing
Явно описывайте компромиссы по безопасности software supply chain и контролях сборки/доставки: UX friction, latency overhead, стоимость сопровождения и требования compliance.
Контекст
Secrets Management Patterns
Supply chain security начинается с безопасных pipeline credentials и изоляции trust boundaries.
Supply Chain Security защищает путь от исходного кода до runtime. Основная идея: доверять только верифицируемым артефактам и автоматизировать проверки на каждом этапе доставки, чтобы компрометация одного шага не приводила к системному инциденту.
Supply chain layers and controls
Source & dependencies
Dependency pinning, allow-lists, vulnerability scanning, signed commits/tags, branch protection.
Build & CI/CD
Ephemeral runners, least-privileged CI tokens, isolated build steps, provenance generation.
Artifacts & registries
Artifact signing, immutable registries, SBOM publication, policy checks before promotion.
Deploy & runtime
Admission policies, image signature verification, runtime detection and fast rollback.
Key practices
- Поддерживайте SBOM для ключевых сервисов и сверяйте его с реальными артефактами в проде.
- Подписывайте контейнеры/бинарники и проверяйте подписи на этапе deploy.
- Вводите provenance/attestation для build pipeline (кто, чем и когда собрал артефакт).
- Минимизируйте blast radius CI секретов: короткоживущие токены, scoped credentials, separate trust zones.
- Проводите регулярный dependency hygiene и patch windows по критичности CVE.
Типовые сценарии угроз
Компрометация upstream-зависимости
Риск: В production попадает вредоносный код из внешнего пакета.
Митигация: Dependency pinning, allow-list поставщиков, provenance-check и быстрое исключение версии из релиза.
Подмена артефакта в registry
Риск: Деплой не того бинарника/образа, который прошел ревью и тесты.
Митигация: Обязательное artifact signing, immutable tags/digests и verify-политики на этапе deploy.
Захват CI runner или токена
Риск: Атакующий может выпустить легитимно выглядящий, но вредоносный билд.
Митигация: Ephemeral runners, scoped short-lived tokens, разделение trust zones и отдельные каналы для secrets.
Компрометация release automation
Риск: Обход policy gates и публикация артефакта без обязательных проверок.
Митигация: Mandatory gates + аудит trail + 4-eyes approval для критичных promotion-операций.
Policy gates по этапам pipeline
| Этап | Обязательные проверки | Действие при провале |
|---|---|---|
| Commit / Merge Request | Signed commits, mandatory review, SAST и license checks. | Block merge и создать security-ticket с владельцем. |
| Build | Reproducible build, SBOM generation, provenance/attestation. | Остановить pipeline, артефакт не публиковать в registry. |
| Artifact Registry | Signature required, immutable digest/tag, policy on critical CVE. | Quarantine артефакта и запрет promotion в release-candidate. |
| Deploy | Admission policy, signature verification, provenance verification. | Деплой отклоняется автоматически, сервис остается на прошлой версии. |
| Runtime | Integrity monitoring, anomaly detection, rollback readiness. | Containment playbook + rollback + отзыв скомпрометированных credentials. |
Операционные метрики
Доля подписанных артефактов
Target: >= 95%
Показывает, какая часть release-кандидатов реально проходит доверенную цепочку поставки.
SBOM coverage ключевых сервисов
Target: 100%
Без SBOM нельзя быстро оценить blast radius при новом CVE.
MTTR на supply chain инцидент
Target: < 2 часов
Критично для ограничения времени присутствия вредоносного артефакта в prod.
Время реакции на критичный CVE
Target: < 24 часов
Показывает, насколько реально работают dependency hygiene и patch windows.
Validation
Testing Distributed Systems
Security drills и compromise simulations так же важны, как функциональные тесты.
Maturity model
Level 1: Visibility
Inventory зависимостей и артефактов, базовый скан vulnerabilities, владельцы цепочки поставки.
Level 2: Control
Policy gates в CI/CD, mandatory code review, artifact immutability, secret hygiene.
Level 3: Verifiability
Signing + attestations + deploy-time verification, полный traceability от commit до runtime.
Level 4: Resilience
Регулярные drills, compromise simulations, быстрый containment и rollback без ручного хаоса.
Roadmap внедрения
Фаза 1 (0-30 дней)
Фокус: Инвентаризация и прозрачность
Результат: Каталог зависимостей, базовый SBOM, владельцы критичных цепочек поставки.
Фаза 2 (30-60 дней)
Фокус: Введение обязательных gate-проверок
Результат: Policy gates в CI/CD, блокировка неподписанных/непроверенных артефактов.
Фаза 3 (60-90 дней)
Фокус: Верифицируемость end-to-end
Результат: Signing + attestation + deploy-time verification для всех критичных сервисов.
Фаза 4 (90+ дней)
Фокус: Операционная устойчивость
Результат: Регулярные drills, compromise simulations, измеримые SLO для supply chain security.
Типичные антипаттерны
CI/CD с long-lived admin токенами без сегментации прав.
Продакшн деплой артефактов, которые не имеют provenance и подписи.
Использование latest-тегов и непинованных зависимостей в критичных сервисах.
SBOM создается формально, но не участвует в политиках релиза.
References
Связанные главы
- The Untold Story of Log4j and Log4Shell - Показывает реальный инцидент цепочки поставок и практические последствия компрометации уязвимой зависимости.
- Secrets Management Patterns - Связана с защитой CI/CD: безопасное хранение и ротация секретов снижают риск захвата pipeline.
- API Security Patterns - Дополняет защиту внешнего периметра после доставки артефакта: авторизация, rate limiting и контроль abuse-сценариев.
- Data Governance & Compliance - Расширяет тему supply chain требованиями к аудиту, traceability и контролю обработки чувствительных данных.
- Security Engineering Overview - Дает общий каркас security-by-design, в который встраиваются SLSA, SBOM, signing и policy gates.