从主流安全开发框架看软件供应链安全保障的落地.docx资源-CSDN文库

107 浏览量 2022-12-15 22:15:41 上传评论收藏 1.33MB DOCX 举报

资源推荐

资源详情

资源评论

从主流平安开发框架看软件供应链平安保障的落地

目录编者按1

刖舌1L供应链平安是工业软件开展的底板2

1.1. 工业软件面临三大供应链平安挑战2

1.2. 以内生平安框架解决工业软件供应链平安挑战3

1.3. 四大关键技术能力打造供应链平安“护身符” 4.六种主流平安开发框架的异同点4

2 .软件供应链平安保障的主要环节5

3. 1.第三方组件的平安管控5

3. 2.针对供应商的平安要求7

3. 3.软件基础设施的平安性8

3.4.软件自身平安性的保护94.软件供应链平安治理与应用实践 10

4. 1.前述10

4. 2.软件供应链平安治理10

4. 2. L体系构建阶段：SDL软件平安开发生命周期11

4. 2. 2.设计阶段：软件供应商风险管理流程15

4. 2. 3.编码阶段：构建详细的软件物料清单18

4. 2. 4.发布运营阶段：建立成熟的应急响应机制23

4 . 3.软件供应链平安应用实践28.平安开发框架主要指导作用思考32

编者按

通过分析六种主流平安开发框架，归纳了供应链平安保障的主要环节，提出

了操作指南细化的初步思路。

=、/1—前三

从SolarWinds攻击到Log4j漏洞，再到近期以反战名义对开源软件供应链投毒事

件，软件供应链平安问题愈演愈烈，因其带来的巨大危害引发全球关注。寻求有

效、可落地的保障方法成为软件供应链相关各方的共同目标。

第1页共32页

小结：多数框架对软件完整性保护进行了要求，并遵循主流的防篡改方法；

在补丁平安性防护方面，BSAFSS从测试、传输、防篡改等角度进行了要求，最为

全面。

4.软件供应链平安治理与应用实践

4. 1.前述

随着容器、微服务等新技术日新月异，开源软件成为业界主流形态，软件行

业快速开展。但同时，软件供应链也越来越趋于复杂化和多样化，软件供应链平

安风险不断加剧，针对软件供应链薄弱环节的网络攻击随之增加，软件供应链成

为影响软件平安的关键因素之一。近年来，全球针对软件供应链的平安事件频发，

影响巨大，软件供应链平安已然成为一个全球性问题。全面、高效地保障软件供

应链的平安对于我国软件行业开展、数字化进程推进具有重要意义。

近日，在由中国信通院指导、悬镜平安主办的中国首届DevSecOps敏捷安全大

会（DSO 2021）现场，《软件供应链平安白皮书（2021）》（以下简称"白皮

书〃）正式发布。本白皮书着重分析了软件供应链平安，梳理了软件供应链的平

安现状，透过现状全面剖析软件供应链的平安风险及面临的平安挑战，有针对性

地提出如何对软件供应链的平安风险进行防范与治理，系统阐述了软件供应链平安

的防护体系及软件供应链平安的应用实践以供参考，最后白皮书结合现在软件供应

链平安的开展趋势进行了全面的分析及展望。

由于篇幅有限，仅摘选本报告"软件供应链平安治理”及“软件供应链应用实

践〃两局部进行提供。

4. 2.软件供应链平安治理

目前，业界已充分认识到造成网络平安事件出现的主要原因之一，是由于软

件开发者在开发过程中对开发工具、开发团队、开发生命周期和软件产品自身管

理不当，致使软件存在着平安缺陷，破坏或影响最终用户的信息平安。

通过推进针对软件生命周期进行全流程平安管控的落地实践，有助于从软件

生命周期的源头保障软件供应链平安。通过建立软件开发过程中保证软件供应链平

安的体系化方法，为软件开发过程中尽可能防止和消除软件的平安缺陷、保证软

件供应链平安奠定重要基础。

第10页共32页

从软件平安开发生命周期角度分析软件供应链平安的应用实践方法，主要有

以下几个阶段。

4.2.1.体系构建阶段：SDL软件平安开发生命周期

微软在21世纪初期的软件产品开发实践中，意识到无法通过技术层面彻底解

决软件面临的平安风险。因此，微软尝试从流程和管理的角度解决这个问题，并探

索在各个软件开发环节中加入平安过程、把控平安风险，确保每个环节交付到下一

环节的交付物都平安可控。于是，针对传统的瀑布式模型微软提出了"SDL软件平安

开发生命周期〃这一概念。

软件平安开发生命周期（SDL）,是一个在帮助开发人员构建更平安的软件和解

决平安合规要求的同时降低开发本钱的软件开发过程。SDL将软件开发生命周期划

分为7个阶段（如下图），并提出了 17项重要的平安活动，旨在将平安集成在软

件开发的每一个阶段，以减少软件中漏洞的数量并将平安缺陷降低到最小程度。

SDL更侧重的是软件开发的平安保障过程，旨在开发出平安的软件产品。

图2 SDL软件平安开发生命周期

在SDL的7个阶段中（如图2所示），SDL要求前6个阶段的16项平安活动，为开

发团队必须完成的平安活动。同时，SDL认为开发团队应该保持灵活性，以便选择

更多合适的平安活动，如人工代码分析、渗透测试、相似应用程序的漏洞分析，

以确保对某些软件组件进行更高级别的平安分析。SDL 重视各种工具的使用，重心

在从需求阶段到测试阶段的工具集，如威胁建模、静态源代码分析等工具。

SDL的

个阶段主要的含义如下：

培训：针对开发团队进行平安意识与能力的培训，以确保SDL能有效实施并

落地，同时针对新的平安问题与形势持续提升团队的平安能力；

需求：通过平安需求分析，定义软件产品平安实现过程中所需要的平安标准

和相关要求;第11页共32页

设计：通过分析攻击面，设计相对应的功能和策略，降低和减少不必要的平

安风险。同时通过威胁建模，分析软件的平安威胁，提出缓解措施；

实施：按设计要求，实现对应功能和策略，以及缓解措施涉及的平安功能和

策略。同时通过平安编码和禁用不平安的API,减少实施时导致的平安问题，尽量防

止引入编码级的平安漏洞，并通过代码审计等措施来确保平安编码规范的实行；

验证：通过平安测试检测软件的平安漏洞，并全面核查攻击面，各个关键因

剩余31页未读，继续阅读

评论收藏

内容反馈

智慧安全方案

粉丝: 3639
资源: 59万+

从主流安全开发框架看软件供应链安全保障的落地.docx

软件应用软件供应链管理.doc.docx

软件平台运维技术方案6信息安全保障服务.docx

全球20大供应链管理软件供应商.docx

最新供应链管理课后习题答案.docx

软件规划方案的需求开发与管理.docx.docx

国际物流与供应链管理软件开发方案及系统架构.docx

2023年中国软件供应链安全分析研究报告.docx

供应链管理期末考试重点.docx

供应链风险管理的分析.docx

供应链管理的神兵利器.docx

供应链危机的应对措施.docx

概述《供应链管理》习题和答案.doc.docx

软件系统项目实施售后、安全保障机制整体解决方案.docx

安全企业谈等保2.0一提升安全运营与检测能力保障关键信息基础设施安全.docx.docx

供应链形成的背景 ..docx

供应链安全管理体系供应链安全威胁识别评价分析及风险应对措施表.docx

建筑行业的供应链金融案例与风险管控.docx

博物馆陈列布展互动多媒体软件设计开发技术方案设计框架.docx

相关实用应用程序（Windows可用）

免费可用的ChatGPT网页版.zip

ChatGPT使用总结：150个ChatGPT提示词模板（完整版）

chromedriver-win64.zip

农村公交与异构无人机协同配送优化

全国计算机二级WPSoffice精选350道选择题题库（含答案）.pdf

哈尔滨工业大学-ChatGPT调研报告-2023.3.6-94页.pdf

李飞飞自传 我看见的世界 The World I see

4个亲测好用的ChatGPT4渠道

2023泛娱乐社交出海手册-ZEGO即构科技

最新资源

李飞飞自传我看见的世界 The World I see