Scribe 平台：端到端软件供应链安全

发布于2022年10月16日3年前

随着软件供应链安全变得越来越重要，安全、DevSecOps 和 DevOps 团队比以往任何时候都面临着更大的挑战，即在他们交付或使用的软件中建立透明的信任。事实上，在 Gartner 最近发布的 2022 年网络安全预测中——他们不仅预计攻击面在不久的将来会继续扩大，而且还将数字供应链列为主要上升的攻击面，也是 2022 年的主要趋势之一.

毕竟，任何软件的安全都取决于其供应链中最薄弱的环节。一个坏组件、对开发环境的任何恶意访问——或软件交付生命周期中的任何漏洞——都会危及代码的完整性、客户和声誉。

Scribe Security最近推出了一个新平台，该平台声称通过使用户能够跨团队和组织建立对其软件的信任来解决这些紧迫需求。根据 Scribe Security 的说法，SBOM 是一种最佳实践，预计将被广泛要求并用于减轻软件供应链风险。考虑到这一点，他们决定带头成为第一个引入软件产品安全证据中心概念的供应商，并推出了一个友好且易于使用的平台。

我们的团队最近更详细地探索了 Scribe 的平台。

第一件事

Scribe 的平台：在潜入之前您需要了解的内容：

免费且易于使用：Scribe 的平台提供完整的自助服务体验。它易于实现和使用，因为它是基于插件和 CLI 的。最后，您可以从免费增值开始，不附加任何条件。
软件安全证据中心：虽然大多数其他软件供应链安全解决方案忽略了让软件产品的安全性对客户、买家和安全团队透明的需求，但 Scribe 的平台引入了安全证据中心。因此，该平台支持跨企业或在企业内部共享 SBOM 的工作流。该平台将很快添加许多见解，因此利益相关者将收到有关他们使用的软件的持续更新。其中一个洞察力，CVEs，已经包含在内，允许软件生产者和他们分享他们的安全洞察力的人看到每个新版本中存在哪些 CVEs。该平台的一个有趣的实验特性是能够验证软件完整性并与利益相关者共享该证据。

为了便于进行产品审查，Scribe Security 团队允许我们访问他们平台的最新版本。这是我们发现的：

入门

使用 Scribe 平台，软件生产者可以了解他们的管道和工件，并为每个管道选择软件消费者 - 订阅者。假设我是一名有兴趣尝试该服务的软件生产商。这是我看到的第一个屏幕。界面的每个部分都进行了解释和说明。

请注意，即使在您第一次开始时，已经有一个演示产品可以用作 Scribe 平台如何工作的示例。您可以使用现有的演示产品，也可以添加自己的新产品。

右上角突出显示的“添加产品”按钮允许您添加新产品。对于每个新产品，您将获得 3 个所需的机密：产品密钥、客户端 ID 和客户端机密。您还将获得指向您选择的集成说明的链接；目前，您可以选择 GitHub、Jenkins 或通用 CI 选项。我们稍后会更详细地介绍它。

使用这个示例产品，我可以测试该平台可以提供什么。

通过点击它，我可以看到已经上传的产品构建。为了测试平台的界面，我从一个开始，然后又创建了几个。

右上角突出显示的“设置”按钮可让您访问当前产品信息。

您可以看到 3 个产品机密，产品密钥、客户端 ID 和客户端机密，以防万一您丢失或忘记它们。

您还可以访问集成说明，因此如果您更改了管道，您现在可以了解如何将 Scribe 工具集成到新管道中。

引起我注意的是右上角的一个链接，上面写着“在命令行上尝试 Scribe”，所以我决定点击它看看会发生什么。

如您所见，当您单击“在命令行上尝试 Scribe”时，平台会显示完整的 CLI 命令。整个真相被揭露。使用 CLI，我只需将默认项目 (mongo-express) 替换为我想尝试的示例项目。

查看我添加到该产品中的所有软件版本，您可以看到它们的创建日期和时间，并了解它们是否在文件完整性方面进行了验证。每个构建末尾的三个点允许您“发布”一个构建——使其对您为该产品定义的软件消费者或订阅者可见。它还允许您下载构建的 SBOM。

添加其他项目非常容易。我唯一要做的就是返回主项目页面并单击“添加项目”。一旦您使用了示例产品，您就可以继续添加您自己的新产品。您获得的屏幕与“设置”屏幕相同，只是它为您提供了全新产品的秘密，而“设置”屏幕为您提供了它所在的现有项目的信息。

它使用起来非常简单——我所要做的就是输入新项目的名称。请记住，在我为这个新项目上传构建或挑选订阅者之前，不会有太多可看的。

凭据是将我的产品管道连接到 Scribe 平台的东西：产品密钥、客户端 ID 和客户端密码。客户 ID 和客户密码对我未来的所有项目都有效，而产品密钥对每个项目都是唯一的。

获得所有信息后，我可以配置我的管道以收集所需信息并将其上传到 Scribe 平台。

根据其文档，Scribe 目前支持 GitHub、Jenkins 和其他 CI 管道。

所有的解释都非常直截了当。作为管道的一部分，我被要求包含两个收集器：第一个收集有关源代码文件哈希的信息，第二个收集有关依赖哈希的信息。虽然第一个收集器是可选的，但第二个不是。由于图像 SBOM 是由第二个收集器生成的，因此跳过此步骤将导致生成空白报告。在我尝试的版本中，Scribe 平台支持 Node.js 和 npm 以进行完整性和出处验证。作为此审查过程的一部分，Scribe 团队还通知我，他们计划在不久的将来扩展他们的产品。

一旦我配置了管道，技术部分就完成了。有了这个管道，每次我创建一个新版本时，证据和 SBOM 都会上传到 Scribe 平台，然后作为“我的产品”页面的一部分进行处理和呈现。

这就是我感兴趣的地方——Scribe 平台主页上可供我使用的各种选项。首先，我注意到我总是可以添加另一个产品（右上角，蓝色按钮）。我可以管理的产品（或管道）的数量没有限制。

我可以看到的每个产品的信息包括它的名称（我选择的那个，不一定是在管道或 SCM 中使用的那个）、它的订阅者、版本和最后构建版本日期，以及它的完整性是否得到验证。

在上图中，测试产品线没有任何细节，因为没有为其构建，也没有添加订阅者。只有在我的管道上传了一些数据之后，Scribe 的平台才能向我展示有关该产品的任何信息。数据上传仅在启动新构建时发生，因此您需要触发构建才能在 Scribe 平台中查看任何内容。如果您还没有计划构建新版本，这有点烦人，但我理解他们的推理。