VibeGuardLive feed
APIMCPRSSSkill查询
返回首页查看原文

StepSecurity 贯穿 SDLC 的统一保护基础设施威胁框架 (SITF)

StepSecurity 如何在 Wiz 的 SDLC 基础设施威胁框架(SITF)确定的各个关键支柱上提供真实世界保护

网络安全界终于认识到一个严酷的现实:供应链攻击不再仅仅以最终产品为目标——它们正在入侵构建软件的全部基础设施。从 Ultralytics 劫持事件,到灾难性的 Shai-Hulud 活动,再到最近的 TrustWallet 泄露事件,攻击者已经意识到:瞄准工厂比瞄准产品的投资回报率更高。

尽管业界正急于创建框架和威胁模型来理解这些攻击,但组织面临着一个关键问题:​我今天如何真正保护我的软件开发生命周期?​

以行业研究为基础:从框架到实施

Wiz 最近推出的 SITF(SDLC 基础设施威胁框架)代表了绘制供应链威胁图景的重要进展。该框架正确识别了遭受攻击的五个关键支柱:

  • 开发者端点/IDE:代码编写和依赖项消费的位置
  • 版本控制系统(VCS)​:源代码和密钥存储的位置
  • CI/CD 流水线:软件构建、测试和部署的位置
  • 软件包注册中心:依赖项和制品发布的位置
  • 生产环境:软件最终运行的位置

来源:Wiz Research

这一全面的映射验证了 StepSecurity 一直在努力实现的目标——覆盖整个软件开发生命周期。该框架为希望了解威胁态势的组织提供了出色的指导。

在 StepSecurity,我们将这种理解转化为实际部署的解决方案,涵盖每个关键领域。

StepSecurity 的实施:全面覆盖关键 SDLC 支柱

在 SITF 等框架提供的全面威胁映射基础上,StepSecurity 开发并部署了跨四个关键支柱的解决方案。我们的平台在现代供应链攻击最常发起和传播的阶段提供主动保护。

以下是 StepSecurity 如何在整个 SDLC 中提供全面覆盖:

阶段 1:开发者环境保护

产品:Dev Machine Guard

保护:IDE 扩展监控、人类和 AI 操作的依赖项可见性、AI 编码代理安全、MCP 服务器监控、策略执行

现代攻击越来越多地将开发者机器作为进入软件供应链的切入点。Dev Machine Guard 监控开发者端点上实际发生的情况——从恶意软件包的安装到 AI 编码代理发出可疑的网络调用。

阶段 2:源代码和依赖项安全

产品:npm Package Search + GitHub Checks

保护:软件包风险评估、冷却期、泄露软件包检测、来源验证

您的 VCS 和依赖项管理代表关键控制点。npm Package Search 提供实时软件包风险情报,允许您直接搜索和查看生态系统中的所有泄露软件包,而 GitHub Checks 直接集成到您的拉取请求工作流中,在代码合并之前强制执行安全策略。

关键保护措施包括:

  • 冷却期检查:自动阻止在过去 2 天内发布(可配置)的依赖项,防止在最关键的窗口期内采用未经审查的软件包——此时大多数供应链攻击刚刚被发现
  • 泄露更新检查:维护泄露软件包的实时数据库,通常在官方 CVE 发布之前就已更新,在拉取请求层面阻止已知的恶意依赖项

阶段 3:CI/CD 流水线安全

产品:Harden-Runner + Actions Governance

保护:运行时监控、网络出口控制、基线异常检测、密钥保护、第三方 Actions 安全

您的 CI/CD 流水线已成为复杂攻击者的主要目标。Harden-Runner 提供"CI/CD 的 EDR",在构建期间监控每个进程、网络调用和文件访问,建立基线并检测表明已被入侵的异常行为。Actions Governance 评估第三方 Actions 的风险并提供安全的替代方案(StepSecurity 维护的 Actions)。对于工作流文件,StepSecurity 可通过单一策略更新在整个组织范围内识别和修复不安全的工作流配置。

阶段 4:注册中心和制品安全

产品:Artifact Monitor + npm Package Search

保护:制品完整性验证、恶意软件包检测、注册中心监控

软件包注册中心既是攻击载体也是传播机制。我们的注册中心保护监控恶意制品、验证完整性,并防止泄露的软件包进入您的供应链。

为什么完整的覆盖很重要

现代供应链攻击之所以成功,是因为它们利用了安全工具之间的空白。被阻止在 CI/CD 层面的攻击者会转向开发者机器。专注于注册中心的防御会遗漏 VCS 泄露。点解决方案会造成单点故障。

Shai-Hulud 活动完美地说明了这一现实——它通过在开发者端点、CI/CD 系统、软件包注册中心和回到端点之间流畅移动而获得成功。这验证了 SITF 等框架倡导的多支柱方法,也证明了为什么 StepSecurity 在这些关键攻击阶段构建了统一的防御。

通过全面保护开发和交付流水线,StepSecurity 防止攻击到达生产环境——在源头阻止供应链泄露,而不是在部署后才尝试检测。

使用 StepSecurity 的综合平台:

  • 纵深防御:开发和交付流水线中的多个干预机会
  • 统一可见性:跨所有关键 SDLC 阶段的威胁关联
  • 协调响应:贯穿整个开发生命周期的集成事件响应
  • 持续保护:在攻击最常开始和传播的阶段提供实时防御

今天就绪,而非明天

当业界辩论框架和威胁模型时,StepSecurity 客户已经受到保护。我们的平台已部署在数千个组织中,每天都在积极阻止供应链攻击。

问题不在于您是否需要 SDLC 安全——最近的攻击已经解决了这个争论。问题在于您想要理论框架还是真正的保护。

不要等待下一个 Shai-Hulud。框架的时代已经过去——保护的时代就在当下。​立即开始免费试用,看看 StepSecurity 如何实时阻止真实的 CI/CD 威胁。