npalm/supply-chain-security-talks
GitHub: npalm/supply-chain-security-talks
这是一套关于软件供应链安全和 GitHub Actions 安全的演讲幻灯片与演示资源集合,帮助开发团队理解并防范 CI/CD 管道中的供应链攻击风险。
Stars: 18 | Forks: 0
# 演讲 - 供应链安全
本仓库包含有关软件供应链安全和 AI 驱动的开发风险演讲的幻灯片和演示资源。
## 会议
| 时间 | 会议 | 演讲 |
|------|-----------|------|
| 2026 年 5 月 | [GeeCON Krakow](https://2026.geecon.org/) | [供应链妥协:攻击剖析与防御蓝图](https://npalm.github.io/supply-chain-security-talks/geecon26/) |
| 2026 年 4 月 | [BSides Groningen](https://bsidesgrunn.org/) | [供应链妥协:攻击剖析与防御蓝图](https://npalm.github.io/supply-chain-security-talks/bsidesgrun26/) |
| 2026 年 3 月 | [040coders.nl](https://www.meetup.com/040coders-nl/events/312818432/) | [超越 Commit:武器化与加固 GitHub Actions](https://npalm.github.io/supply-chain-security-talks/040coders26/) |
| 2026 年 1 月 | [NDC Security](https://ndcsecurity.com/) | [超越 Commit:武器化与加固 GitHub Actions](https://npalm.github.io/supply-chain-security-talks/ndcsecurity26/) |
| 2025 年 11 月 | [NDC Security & AI](https://ndcmanchester.com/) | [从 CI 噩梦到供应链哨兵](https://npalm.github.io/supply-chain-security-talks/ndcmanchester25) |
| 2025 年 11 月 | [HeapCon](https://heapcon.io/) | [从 CI 噩梦到供应链哨兵](https://npalm.github.io/supply-chain-security-talks/heapcon25/) |
| 2025 年 11 月 | [GoTech World](https://www.gotech.world/) | [从 CI 噩梦到供应链哨兵](https://npalm.github.io/supply-chain-security-talks/gotechworld25/) |
| 2025 年 11 月 | [040coders.nl (Ignite)](https://www.meetup.com/040coders-nl/) | [武器化 GitHub Actions](https://npalm.github.io/supply-chain-security-talks/040codersignite25/) |
## 演示资源
- [GeeCON 2026 资源](decks/geecon26/resources.md)
- [演示 Zizmor(扩展版本)](https://github.com/codethebuild/gh-actions-security-zizmor-demo-time)
- [演示 Zizmor](https://github.com/codethebuild/gh-actions-security-zizmor)
- [演示 GHAS](https://github.com/codethebuild/gh-actions-security-ghas)
### 安全工具与文档
- [Zizmor GitHub Actions 安全扫描器](https://github.com/woodruffw/zizmor) - 用于扫描 GitHub Actions 工作流的开源工具
- [Zizmor 文档](https://woodruffw.github.io/zizmor/) - 全面的指南和配置选项
- [GitHub Advanced Security](https://docs.github.com/en/get-started/learning-about-github/about-github-advanced-security) - GitHub 内置的安全功能
- [GitHub Actions 安全加固](https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions) - 官方安全最佳实践
### 其他资源
- [OpenSSF Scorecard](https://securityscorecards.dev/) - 开源项目的安全健康指标
- [OIDC 与 GitHub Actions](https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/about-security-hardening-with-openid-connect) - 短期 token 设置
- [Dependency Review Action](https://github.com/actions/dependency-review-action) - 用于依赖分析的 GitHub Action
- [GitHub Security Lab - 维护你的 GitHub Actions](https://securitylab.github.com/resources/github-actions-preventing-pwn-requests/) - 讨论常见的 GitHub Actions 和工作流安全不当做法的系列文章。
- [加固 GitHub Actions](https://www.wiz.io/blog/github-actions-security-guide) - 如何加固 GitHub Actions:非官方指南
- [Cline CLI 攻击](https://www.zenity.io/blog/the-cline-cli-attack-when-ai-coding-assistants-become-attack-vectors/) - 当 AI 编码助手成为攻击向量
## 演讲者
| [
Niek Palm](https://github.com/npalm)
首席工程师 - Philips | | :---: | ## 工具 幻灯片使用 Markdown 编写,并通过 [marp](https://marp.app/) 转换为演示文稿。 ## 仓库结构 ``` assets/shared/ Shared assets reused across decks decks// One deck per directory
slides.md Marp source
deck.yml Deck-local metadata
assets/ Deck-local assets
resources.md Optional resources page source
scripts/ Build and dev tooling
sessions.yml Published session timeline and site registry
site/ Generated GitHub Pages output
.build/ Intermediate build output
```
## 命令
```
corepack enable
pnpm install
pnpm run build:deck -- --deck geecon26
pnpm run build:deck -- --deck geecon26 --standalone
pnpm run dev -- --deck geecon26
pnpm run site
```
要在本地预览生成的网站:
```
pnpm run site
npx http-server site -c-1 -a 127.0.0.1
```
## 发布模型
- `sessions.yml` 是公开时间线和主页排序的单一事实来源。
- 每个已发布的会话保留其自己的公共 slug,例如 `geecon26`。
- 一个会话可以选择公开一个资源页面。如果省略了 `resources:`,站点构建器会查找 `decks//resources.md`。
- 主页按从新到旧的顺序生成。
## 资产规则
- 将可重用的资产放在 `assets/shared/` 中。
- 将特定演讲的资产放在 `decks//assets/` 中。
- 默认情况下优先使用特定于 deck 的资产。仅当有意重用文件时,才将其提升为共享资产。
## CI
- `ci.yml` 在 `ubuntu-latest` 上验证站点构建。
- `pages.yml` 在 PR 上构建完整站点,并将 `site/` 作为 3 天的构件预览上传。
- 仅推送到 `main` 分支的内容会部署到 `gh-pages`。
- `actionlint.yml`、`zizmor.yml`、`dependency-review.yml` 和 `security.yml` 负责涵盖工作流和依赖项安全检查。
## 图片
本演示文稿使用以下图片来源:
- 自有图片
- [Pixabay](https://pixabay.com/)
- [DALL-E](https://labs.openai.com/)
- [Gemini](https://gemini.google/)
Niek Palm](https://github.com/npalm)
首席工程师 - Philips | | :---: | ## 工具 幻灯片使用 Markdown 编写,并通过 [marp](https://marp.app/) 转换为演示文稿。 ## 仓库结构 ``` assets/shared/ Shared assets reused across decks decks/
标签:AI驱动开发风险, CI/CD安全, DevSecOps, GitHub Actions安全, Llama, MITM代理, T1059.003, Zizmor, 上游代理, 代码安全, 会议演讲, 供应链攻击, 安全演示资源, 安全防御策略, 文档安全, 漏洞枚举, 演讲幻灯片, 结构化查询, 自动化安全, 自定义脚本, 软件供应链安全, 远程方法调用, 防御加固