文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Linux基金会提出软件安全开发十项指导原则

2024-11-30 03:58

关注

OpenSSF开源供应链安全主管David A. Wheeler表示,提出这些原则的初衷是希望企业组织能够采用这些方法开发出具有原生化安全能力的应用软件系统,实现安全能力左移。这些原则涵盖了一系列已被实践验证的安全保障措施,从安全功能融入设计到实现应用软件可观察性等不一而足。

具体原则内容包括:

  1. 在软件开发过程中采用符合行业规范,并已被广泛应用的现代安全开发方法;
  2. 要求软件开发人员学习和运用安全软件设计原则,比如最小权限原则等;
  3. 要让开发团队了解最常见的漏洞类型,同时采取措施,在软件开发过程中阻止漏洞的引入或限制其影响;
  4. 在软件系统正式发布前进行充分的安全性检查,发现并解决其中可能存在各类型漏洞,并在产品正式发布后实施持续性的漏洞监测措施;
  5. 要加强对软件开发基础设施的保护,防止其受到恶意攻击或渗透,确保在此基础上开展的各项软件研发活动安全合规;
  6. 企业应该优先考虑和能够遵守安全指导原则的软件开发商合作,并通过公开披露的安全指标数据及时评估软件供应商的风险态势。一旦发现恶意软件的迹象应该立即采取响应措施;
  7. 要让软件系统的使用者能够了解软件供应链状态,并让其中的安全防护措施与不断发展的行业监管标准保持一致;
  8. 企业应该制定负责人的漏洞管理和披露计划,这类计划应该包括对第三方代码引用的依赖项,并附有报告和补救漏洞的响应策略;
  9. 企业应定期发布与行业最佳实践相一致的安全性公告;
  10. 企业应该积极地与行业监管组织合作,并通过参与其活动,加强与业界同仁的经验交流。

Wheeler指出,对于希望实施这些安全指导原则的组织来说,可能会存在各种类型的困难。其中最大的挑战是开发文化。因为开发软件通常是为了实现某些特定的应用功能,而安全性往往不被考虑。因此,OpenSSF并不希望通过强制要求的方式去让每一家软件开发企业都去遵守这些原则,而是需要通过多种方式让企业真正理解、认同并参考应用。OpenSSF将会为希望实现这些原则的组织提供培训、工具和指导,从而推动这些原则的落地。

参考链接:

https://www.sdxcentral.com/articles/analysis/openssf-details-top-10-secure-software-development-principles/2023/12/

来源:安全牛内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯