文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

美官方为软件供应商提出供应链安全指南

2024-12-01 12:04

关注

对于软件供应链的安全实践,NSA、CISA与ODNI有着一系列的规划,相关规划落实在由NSA及CISA所主导的政企工作小组所开发的“长期安全框架”(Enduring Security Framework,ESF)之中。这一框架将产出指导美国重大网络基础设施的安全指南,针对软件供应链总计有3部分:首先是今年9月发布、锁定软件开发者的《Securing the Software Supply Chain for Developers》,10月31日发布的指南适用于软件供应商,下一步则会发布针对软件供应链客户使用者的版本。

该指南针对软件供应商的供应链安全提出了非常多的建议,现将主要要点如下概述:

第一,该指南敦促软件供应商在软件收发供货过程中保证供应链安全。供应商有义务做到确认发货的软件与客户收到的软件是一样的;需要创建一个安全的哈希值来验证文件是否传送正确;需要确保软件传输通信渠道是安全的。需要通过利用国际公认的标准(如NIST SSDF)对软件进行最终检查,这有助于确保在软件发布前满足软件功能和安全要求。

第二,该指南认为供应商应提供一种机制,通过在整个软件生命周期内对代码进行数字签名,来验证软件发布的完整性。经过数字签名的代码,使代码接收者以及客户能够积极地验证和信任代码的来源和完整性。

第三,该指南要求供应商必须确保本地开发的软件和由第三方供应商提供的任何组件都需要符合安全要求。由于第三方提供的软件和模块通常会包含在供应商发布的软件产品中,为此,供应商可以通过召集专家评估第三方提供的软件是否符合适用的安全要求、与第三方软件提供者签订合同协议来解决潜在的第三方软件问题。

第四,该指南认为供应商应尽一切努力,确保提供给客户的任何软件中不存在公开的或容易识别的漏洞。在向客户提供软件之前,需要测试、了解和消除软件中的漏洞,以防止提供容易被破坏的代码。需要建立一个由架构师、开发、测试人员、密码学家和人为因素工程师组成的漏洞评估小组,其任务是识别软件中可利用的弱点。需实时检查与第三方软件和与软件相关的开放源码组件相关的软件物料清单(SBOM)。在相关问题公布后,建立并遵循企业对嵌入式组件升级的指导。

该指南下载地址:https://media.defense.gov/2022/Oct/31/2003105368/-1/-1/0/SECURING_THE_SOFTWARE_SUPPLY_CHAIN_SUPPLIERS.PDF 

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯