日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
美官方為軟件供應(yīng)商提出供應(yīng)鏈安全指南

10月31日,美國(guó)國(guó)家安全局(NSA)、網(wǎng)絡(luò)安全及基礎(chǔ)設(shè)施安全局(CISA)、國(guó)家情報(bào)總監(jiān)辦公室(ODNI)攜手發(fā)布了保護(hù)軟件供應(yīng)鏈的實(shí)操指南。該指南內(nèi)容總共有40頁(yè),主要提及了軟件供應(yīng)商在供應(yīng)鏈中所需要承擔(dān)的責(zé)任和改進(jìn)方法。指南中提及的供應(yīng)商主要責(zé)任包括:

成都創(chuàng)新互聯(lián)主要從事網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站設(shè)計(jì)、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)克井,十年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專(zhuān)業(yè),歡迎來(lái)電咨詢(xún)建站服務(wù):13518219792

  • 第一,努力識(shí)別可能危及組織、軟件開(kāi)發(fā)、軟件本身和軟件交付(即內(nèi)部部署或SaaS)環(huán)境的威脅,并實(shí)施相關(guān)的緩解措施;
  • 第二,作為客戶(hù)和軟件開(kāi)發(fā)團(tuán)隊(duì)之間的聯(lián)絡(luò)人,需要確保軟件在安全環(huán)境下開(kāi)發(fā),并通過(guò)安全渠道交付;
  • 第三,供應(yīng)商通過(guò)合同協(xié)議、軟件發(fā)布和更新、通知和漏洞緩解機(jī)制來(lái)提供所交付的軟件額外的安全功能。

對(duì)于軟件供應(yīng)鏈的安全實(shí)踐,NSA、CISA與ODNI有著一系列的規(guī)劃,相關(guān)規(guī)劃落實(shí)在由NSA及CISA所主導(dǎo)的政企工作小組所開(kāi)發(fā)的“長(zhǎng)期安全框架”(Enduring Security Framework,ESF)之中。這一框架將產(chǎn)出指導(dǎo)美國(guó)重大網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全指南,針對(duì)軟件供應(yīng)鏈總計(jì)有3部分:首先是今年9月發(fā)布、鎖定軟件開(kāi)發(fā)者的《Securing the Software Supply Chain for Developers》,10月31日發(fā)布的指南適用于軟件供應(yīng)商,下一步則會(huì)發(fā)布針對(duì)軟件供應(yīng)鏈客戶(hù)使用者的版本。

該指南針對(duì)軟件供應(yīng)商的供應(yīng)鏈安全提出了非常多的建議,現(xiàn)將主要要點(diǎn)如下概述:

第一,該指南敦促軟件供應(yīng)商在軟件收發(fā)供貨過(guò)程中保證供應(yīng)鏈安全。供應(yīng)商有義務(wù)做到確認(rèn)發(fā)貨的軟件與客戶(hù)收到的軟件是一樣的;需要?jiǎng)?chuàng)建一個(gè)安全的哈希值來(lái)驗(yàn)證文件是否傳送正確;需要確保軟件傳輸通信渠道是安全的。需要通過(guò)利用國(guó)際公認(rèn)的標(biāo)準(zhǔn)(如NIST SSDF)對(duì)軟件進(jìn)行最終檢查,這有助于確保在軟件發(fā)布前滿(mǎn)足軟件功能和安全要求。

第二,該指南認(rèn)為供應(yīng)商應(yīng)提供一種機(jī)制,通過(guò)在整個(gè)軟件生命周期內(nèi)對(duì)代碼進(jìn)行數(shù)字簽名,來(lái)驗(yàn)證軟件發(fā)布的完整性。經(jīng)過(guò)數(shù)字簽名的代碼,使代碼接收者以及客戶(hù)能夠積極地驗(yàn)證和信任代碼的來(lái)源和完整性。

第三,該指南要求供應(yīng)商必須確保本地開(kāi)發(fā)的軟件和由第三方供應(yīng)商提供的任何組件都需要符合安全要求。由于第三方提供的軟件和模塊通常會(huì)包含在供應(yīng)商發(fā)布的軟件產(chǎn)品中,為此,供應(yīng)商可以通過(guò)召集專(zhuān)家評(píng)估第三方提供的軟件是否符合適用的安全要求、與第三方軟件提供者簽訂合同協(xié)議來(lái)解決潛在的第三方軟件問(wèn)題。

第四,該指南認(rèn)為供應(yīng)商應(yīng)盡一切努力,確保提供給客戶(hù)的任何軟件中不存在公開(kāi)的或容易識(shí)別的漏洞。在向客戶(hù)提供軟件之前,需要測(cè)試、了解和消除軟件中的漏洞,以防止提供容易被破壞的代碼。需要建立一個(gè)由架構(gòu)師、開(kāi)發(fā)、測(cè)試人員、密碼學(xué)家和人為因素工程師組成的漏洞評(píng)估小組,其任務(wù)是識(shí)別軟件中可利用的弱點(diǎn)。需實(shí)時(shí)檢查與第三方軟件和與軟件相關(guān)的開(kāi)放源碼組件相關(guān)的軟件物料清單(SBOM)。在相關(guān)問(wèn)題公布后,建立并遵循企業(yè)對(duì)嵌入式組件升級(jí)的指導(dǎo)。

該指南下載地址:https://media.defense.gov/2022/Oct/31/2003105368/-1/-1/0/SECURING_THE_SOFTWARE_SUPPLY_CHAIN_SUPPLIERS.PDF


名稱(chēng)欄目:美官方為軟件供應(yīng)商提出供應(yīng)鏈安全指南
網(wǎng)站鏈接:http://www.dlmjj.cn/article/dpjdccs.html