没有合适的资源?快使用搜索试试~ 我知道了~
从主流安全开发框架看软件供应链安全保障的落地.docx
2 下载量 107 浏览量
2022-12-15
22:15:41
上传
评论
收藏 1.33MB DOCX 举报
温馨提示
试读
32页
从主流安全开发框架看软件供应链安全保障的落地.docx
资源推荐
资源详情
资源评论
从主流平安开发框架看软件供应链平安保障的落地
目录编者按1
刖舌1L供应链平安是工业软件开展的底板2
1.1. 工业软件面临三大供应链平安挑战2
1.2. 以内生平安框架解决工业软件供应链平安挑战3
1.3. 四大关键技术能力打造供应链平安“护身符” 4.六种主流平安开发框架的异同点4
2 .软件供应链平安保障的主要环节5
3. 1.第三方组件的平安管控5
3. 2.针对供应商的平安要求7
3. 3.软件基础设施的平安性8
3.4.软件自身平安性的保护94.软件供应链平安治理与应用实践 10
4. 1.前述10
4. 2.软件供应链平安治理10
4. 2. L体系构建阶段:SDL软件平安开发生命周期11
4. 2. 2.设计阶段:软件供应商风险管理流程15
4. 2. 3.编码阶段:构建详细的软件物料清单18
4. 2. 4.发布运营阶段:建立成熟的应急响应机制23
4 . 3.软件供应链平安应用实践28.平安开发框架主要指导作用思考32
编者按
通过分析六种主流平安开发框架,归纳了供应链平安保障的主要环节,提 出
了操作指南细化的初步思路。
=、/1—前三
从SolarWinds攻击到Log4j漏洞,再到近期以反战名义对开源软件供应链 投毒事
件,软件供应链平安问题愈演愈烈,因其带来的巨大危害引发全球关 注。寻求有
效、可落地的保障方法成为软件供应链相关各方的共同目标。
第1页共32页
小结:多数框架对软件完整性保护进行了要求,并遵循主流的防篡改方 法;
在补丁平安性防护方面,BSAFSS从测试、传输、防篡改等角度进行了要 求,最为
全面。
4.软件供应链平安治理与应用实践
4. 1.前述
随着容器、微服务等新技术日新月异,开源软件成为业界主流形态,软件 行
业快速开展。但同时,软件供应链也越来越趋于复杂化和多样化,软件供应 链平
安风险不断加剧,针对软件供应链薄弱环节的网络攻击随之增加,软件供 应链成
为影响软件平安的关键因素之一。近年来,全球针对软件供应链的平安 事件频发,
影响巨大,软件供应链平安已然成为一个全球性问题。全面、高效 地保障软件供
应链的平安对于我国软件行业开展、数字化进程推进具有重要意 义。
近日,在由中国信通院指导、悬镜平安主办的中国首届DevSecOps敏捷安 全大
会(DSO 2021)现场,《软件供应链平安白皮书(2021)》(以下简称"白 皮
书〃)正式发布。本白皮书着重分析了软件供应链平安,梳理了软件供应链的 平
安现状,透过现状全面剖析软件供应链的平安风险及面临的平安挑战,有针 对性
地提出如何对软件供应链的平安风险进行防范与治理,系统阐述了软件供 应链平安
的防护体系及软件供应链平安的应用实践以供参考,最后白皮书结合 现在软件供应
链平安的开展趋势进行了全面的分析及展望。
由于篇幅有限,仅摘选本报告"软件供应链平安治理”及“软件供应链应用实
践〃两局部进行提供。
4. 2.软件供应链平安治理
目前,业界已充分认识到造成网络平安事件出现的主要原因之一,是由于 软
件开发者在开发过程中对开发工具、开发团队、开发生命周期和软件产品自 身管
理不当,致使软件存在着平安缺陷,破坏或影响最终用户的信息平安。
通过推进针对软件生命周期进行全流程平安管控的落地实践,有助于从软 件
生命周期的源头保障软件供应链平安。通过建立软件开发过程中保证软件供 应链平
安的体系化方法,为软件开发过程中尽可能防止和消除软件的平安缺 陷、保证软
件供应链平安奠定重要基础。
第10页共32页
从软件平安开发生命周期角度分析软件供应链平安的应用实践方法,主要 有
以下几个阶段。
4.2.1.体系构建阶段:SDL软件平安开发生命周期
微软在21世纪初期的软件产品开发实践中,意识到无法通过技术层面彻底 解
决软件面临的平安风险。因此,微软尝试从流程和管理的角度解决这个问 题,并探
索在各个软件开发环节中加入平安过程、把控平安风险,确保每个环 节交付到下一
环节的交付物都平安可控。于是,针对传统的瀑布式模型微软提 出了"SDL软件平安
开发生命周期〃这一概念。
软件平安开发生命周期(SDL),是一个在帮助开发人员构建更平安的软件 和解
决平安合规要求的同时降低开发本钱的软件开发过程。SDL将软件开发生 命周期划
分为7个阶段(如下图),并提出了 17项重要的平安活动,旨在 将平安集成在软
件开发的每一个阶段,以减少软件中漏洞的数量并将平安缺陷 降低到最小程度。
SDL更侧重的是软件开发的平安保障过程,旨在开发出平安 的软件产品。
图2 SDL软件平安开发生命周期
在SDL的7个阶段中(如图2所示),SDL要求前6个阶段的16项 平安活动,为开
发团队必须完成的平安活动。同时,SDL认为开发团队应该保 持灵活性,以便选择
更多合适的平安活动,如人工代码分析、渗透测试、相似 应用程序的漏洞分析,
以确保对某些软件组件进行更高级别的平安分析。SDL 重视各种工具的使用,重心
在从需求阶段到测试阶段的工具集,如威胁建模、 静态源代码分析等工具。
SDL的
7
个阶段主要的含义如下:
培训:针对开发团队进行平安意识与能力的培训,以确保SDL能有效实施 并
落地,同时针对新的平安问题与形势 持续提升团队的平安能力;
需求:通过平安需求分析,定义软件产品平安实现过程中所需要的平安标 准
和相关要求;第11页共32页
设计:通过分析攻击面,设计相对应的功能和策略,降低和减少不必要的 平
安风险。同时通过威胁建模,分析软 件的平安威胁,提出缓解措施;
实施:按设计要求,实现对应功能和策略,以及缓解措施涉及的平安功能 和
策略。同时通过平安编码和禁用不平安的API,减少实施时导致的平安问 题,尽量防
止引入编码级的平安漏洞,并通过代码审计等措施来确保平安编码 规范的实行;
验证:通过平安测试检测软件的平安漏洞,并全面核查攻击面,各个关键 因
素上的威胁缓解措施是否得以验证;
发布:建立相应的响应计划,进行最终平安检查,确认所有平安活动均完 成
后将最终版本发送给客户;
响应:当出现平安事件与漏洞报告时,及时实施应急响应和漏洞修复。在 此
过程中新发现的问题和平安问题模式,可用于SDL的持续改进过程中。
DevSecOps
DevSecOps是一种全新的平安理念和模式,由DevOps的概念延伸和演变 而来。
其核心理念是平安是整个IT团队每个人的责任,需要贯穿从开发到运 营整个业务生
命周期每一个环节才能提供有效保障。
DevSecOps覆盖编码阶段、测试阶段、预发布阶段、发布阶段、线上运营 阶段,
强调自动化与平台化,由CI/CD平台推动整个开发和运营流程自动化。 DevSecOps依
赖于DevOps流程工具链(如图3所示),将威胁建模工具、安 全编码工具、平安测
试工具、容器平安检测工具、基线加固工具、漏洞管理工 具等自动化工具无缝集
成到DevOps流程中,进而实现开发-平安-运营一 体化。
第12页共32页
图3 DevSecOps工具链
很多企业在向DevSecOps转型时,会发现很多传统的平安工具在集成性和 实用
性上都难以满足DevSecOps的需求,因此,在DevSecOps的不同阶段需 要采用不同
的DevSecOps平安工具(如图4所示),这些平安工具主要的共 同特点是高度自动化
以及可集成性。
段及自sMtas
DevSecOps工具链
I
开发
, a=
梅建
aa
运雪
SCA-OSSA (叫乐分另%分
M)
€
<
•
•
n/a
SCA-OSG
或分分於心力增,
n/a
•
•
•
n/a
SAST
n/a
V
n/a
n/a
DAST /Automated- PT
(就e®n熨 的力仃武化津
训罚武)
n/a
n/a
n/a
6
IAST
n/a
•
•
•
n/a
TM
c
n/a
n/a
n/a
n/a
IRASP
,(群附右用自厢)
n/a
n/a
n/a
n/a
图4 DevSecOps平安工具在不同阶段的
第13页共32页
•供应谶安钠浴
•代蚪平安期尚第H
♦QE平安喇耗电插杵
•平安里训
•平安•玛陶布
•幽窿横
•平安3r米及万事设计
♦平安方案持续改进
♦平安技术.TA.集 够持
续优化
♦ tMaMNMMff
♦ mKB
♦姒深防W系期I
(HIDS. RASP.
WAF. UEBAW)
■
• RASP
♦ HiDS
• SUBMIT
£■
Security
,东康平安试
• IX件成分分析
♦sasmsxx
预发希
•暮画平安险舞
»运行环境顺
.Fuzzing安
♦ Chaot-Monkey-
Style Testing
发布
•平安检簿巳通过校检
.平安风粉和
♦替名校始
♦ mwo
• JI网分析预曾
♦检测哨应综合分析
•威酬聪
SW5
• RASP
• HIDS
•金涮冽咯杀
Security
剩余31页未读,继续阅读
资源评论
智慧安全方案
- 粉丝: 3639
- 资源: 59万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- DH 应急 餐馆商铺宾馆娱乐场所安消融合解决方案配置清单 V1.0.rar
- 《基于深度学习的推荐系统》源码(大创项目).zip
- ARK-2150L应急环境监测应用.rar
- 拉丝金属-上盖使用波浪纹理.blend
- share_344428a8f0cdf5752fc9cebc9885d93a.mp4
- 根据全国城市首字母 排列索引列表(json数据)
- 内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_红日靶场1攻略-CSDN博客.html
- siap300 RE 串口日志
- openpose-models,覆盖openpose/models下面的文件
- 旅行商问题(英语:Travelling salesman problem, TSP)是一个经典的组合优化问题,可以描述为:给定一
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功