辰东全部小说,辰东完美世界有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

美官方為軟件供應(yīng)商提出供應(yīng)鏈安全指南

10月31日，美國國家安全局（NSA）、網(wǎng)絡(luò)安全及基礎(chǔ)設(shè)施安全局（CISA）、國家情報總監(jiān)辦公室（ODNI）攜手發(fā)布了保護軟件供應(yīng)鏈的實操指南。該指南內(nèi)容總共有40頁，主要提及了軟件供應(yīng)商在供應(yīng)鏈中所需要承擔(dān)的責(zé)任和改進方法。指南中提及的供應(yīng)商主要責(zé)任包括：

成都創(chuàng)新互聯(lián)主要從事網(wǎng)站設(shè)計制作、成都網(wǎng)站設(shè)計、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)克井,十年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):13518219792

第一，努力識別可能危及組織、軟件開發(fā)、軟件本身和軟件交付（即內(nèi)部部署或SaaS）環(huán)境的威脅，并實施相關(guān)的緩解措施；
第二，作為客戶和軟件開發(fā)團隊之間的聯(lián)絡(luò)人，需要確保軟件在安全環(huán)境下開發(fā)，并通過安全渠道交付；
第三，供應(yīng)商通過合同協(xié)議、軟件發(fā)布和更新、通知和漏洞緩解機制來提供所交付的軟件額外的安全功能。

對于軟件供應(yīng)鏈的安全實踐，NSA、CISA與ODNI有著一系列的規(guī)劃，相關(guān)規(guī)劃落實在由NSA及CISA所主導(dǎo)的政企工作小組所開發(fā)的“長期安全框架”（Enduring Security Framework，ESF）之中。這一框架將產(chǎn)出指導(dǎo)美國重大網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全指南，針對軟件供應(yīng)鏈總計有3部分：首先是今年9月發(fā)布、鎖定軟件開發(fā)者的《Securing the Software Supply Chain for Developers》，10月31日發(fā)布的指南適用于軟件供應(yīng)商，下一步則會發(fā)布針對軟件供應(yīng)鏈客戶使用者的版本。

該指南針對軟件供應(yīng)商的供應(yīng)鏈安全提出了非常多的建議，現(xiàn)將主要要點如下概述：

第一，該指南敦促軟件供應(yīng)商在軟件收發(fā)供貨過程中保證供應(yīng)鏈安全。供應(yīng)商有義務(wù)做到確認(rèn)發(fā)貨的軟件與客戶收到的軟件是一樣的；需要創(chuàng)建一個安全的哈希值來驗證文件是否傳送正確；需要確保軟件傳輸通信渠道是安全的。需要通過利用國際公認(rèn)的標(biāo)準(zhǔn)（如NIST SSDF）對軟件進行最終檢查，這有助于確保在軟件發(fā)布前滿足軟件功能和安全要求。

第二，該指南認(rèn)為供應(yīng)商應(yīng)提供一種機制，通過在整個軟件生命周期內(nèi)對代碼進行數(shù)字簽名，來驗證軟件發(fā)布的完整性。經(jīng)過數(shù)字簽名的代碼，使代碼接收者以及客戶能夠積極地驗證和信任代碼的來源和完整性。

第三，該指南要求供應(yīng)商必須確保本地開發(fā)的軟件和由第三方供應(yīng)商提供的任何組件都需要符合安全要求。由于第三方提供的軟件和模塊通常會包含在供應(yīng)商發(fā)布的軟件產(chǎn)品中，為此，供應(yīng)商可以通過召集專家評估第三方提供的軟件是否符合適用的安全要求、與第三方軟件提供者簽訂合同協(xié)議來解決潛在的第三方軟件問題。

第四，該指南認(rèn)為供應(yīng)商應(yīng)盡一切努力，確保提供給客戶的任何軟件中不存在公開的或容易識別的漏洞。在向客戶提供軟件之前，需要測試、了解和消除軟件中的漏洞，以防止提供容易被破壞的代碼。需要建立一個由架構(gòu)師、開發(fā)、測試人員、密碼學(xué)家和人為因素工程師組成的漏洞評估小組，其任務(wù)是識別軟件中可利用的弱點。需實時檢查與第三方軟件和與軟件相關(guān)的開放源碼組件相關(guān)的軟件物料清單（SBOM）。在相關(guān)問題公布后，建立并遵循企業(yè)對嵌入式組件升級的指導(dǎo)。

該指南下載地址：https://media.defense.gov/2022/Oct/31/2003105368/-1/-1/0/SECURING_THE_SOFTWARE_SUPPLY_CHAIN_SUPPLIERS.PDF

分享名稱：美官方為軟件供應(yīng)商提出供應(yīng)鏈安全指南
瀏覽路徑：http://m.fisionsoft.com.cn/article/dpjdccs.html

新聞中心

其他資訊