Glossario · Cybersecurity · Catena di fornitura
Sicurezza della catena di fornitura del software
La sicurezza della catena di fornitura del software protegge l'integrità di tutto ciò che entra in un'applicazione: dipendenze, processi di build e artefatti finali. L'obiettivo è garantire che il software distribuito sia esattamente quello costruito, senza componenti manomessi o introdotti da un attaccante in un qualsiasi anello del processo.
Controlli consueti
- Firme degli artefatti — firmare e verificare gli artefatti garantisce che non siano stati alterati tra la costruzione e il deployment.
- SLSA — framework a livelli che definisce garanzie progressive sull'integrità del processo di build e sulla provenienza dell'artefatto.
- SBOM — inventario dei componenti che consente di conoscere le dipendenze e di rispondere rapidamente alle vulnerabilità note.
- Repository privati — controllare l'origine delle dipendenze evita la sostituzione con pacchetti malevoli o contraffatti.
Perché conta nel settore bancario regolamentato
Gli incidenti della catena di fornitura colpiscono più organizzazioni contemporaneamente attraverso un unico fornitore o componente compromesso. DORA impone alle entità finanziarie di gestire il rischio ICT di terze parti lungo l'intero ciclo di vita, e NIS2 colloca la sicurezza della catena di fornitura come un controllo esplicito nei settori essenziali. Proteggere dipendenze, build e artefatti con firme, SLSA e SBOM trasforma tale requisito normativo in garanzie tecniche verificabili sulla provenienza e l'integrità del software in produzione.
Come aiuta Vermont Solutions
Integrità end-to-end
Affianchiamo le entità finanziarie nella protezione della propria catena di fornitura del software con firme, SLSA e SBOM, in linea con i requisiti di DORA e NIS2.
Scopri governance e conformità →Fuentes
Ultimo aggiornamento: 2026-06-21. Contenuto editoriale di Vermont Solutions, citabile con attribuzione.