400-123-4567
公司动态 行业新闻
《面向开发人员的软件供应链安全指南》(theChainfor)发布
浏览量:    所属栏目:【公司动态】    时间:2022-09-23

数字时代,关键信息基础设施的安全稳定运行事关国家安全、国计民生和公共利益。软件供应链安全是关键信息基础设施必须面对的关键安全问题之一。近日软件开发,美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)联合发布了《面向开发者的软件供应链安全指南》(the Chain for),指导内容可为国内网络安全从业者和追随者提供参考。

此版本面向开发人员,后续版本面向供应商和客户。该指南根据行业最佳实践和原则提供指导,包括规划安全要求、从安全角度设计软件架构、添加安全功能以及维护软件和底层基础架构的安全。

指南概述

开发过程集成安全

《面向开发者的软件供应链安全指南》主要提供了开发者可以用来为软件开发生命周期提供安全保障的相关原则和建议,强调以安全的软件开发生命周期来保证软件的安全供应链的重要过程。该指南从安全产品标准与管理、安全代码开发、第三方组件验证、开发环境加固、代码交付等方面提供了相应的威胁场景和建议的缓解措施。

软件供应链中的角色和安全活动

在安全产品标准和管理方面,对开发团队和产品管理团队的组成提出建议。

安全代码开发分为六个部分:内部人员修改或利用源代码、开源管理实践、安全开发实践、代码集成、客户报告的错误/漏洞和外部开发扩展。

第三方组件的验证分为五个部分:第三方二进制文件、选择和集成、从已知和值得信赖的供应商处获取组件、组件维护和软件材料清单。

在开发环境加固方面,分为建立漏洞利用链和攻击签名服务器两部分。

代码交付方面细分为最终包验证、破坏包和更新的潜在策略以及交付系统漏洞。

安全软件开发过程和生命周期

在供应链安全方面j9九游会,天融信始终坚持自主创新,构建了完整的国内网络安全产品技术体系;基于“从不信任,始终验证”的零信任设计理念,形成了SDP、IAM、MSG三大技术路线,将安全开发与零信任相结合;积极践行ATT&CK框架j9九游会,在产品设计开发过程中推进防御,不断打磨自身产品和服务;在维修等方面积累的实践经验转化为软件测试、交付和运行过程中所需的安全服务能力。同时,依托自有的安全漏洞响应中心,不断提升产品和服务的安全性。

天融信作为中国信息通信研究院软件供应链安全实验室首批成员单位、中国信息通信研究院零信任实验室副主任单位,凭借过硬的技术实力,连续九年被评为国家级信息安全漏洞。 CNNVD一级技术支持单位称号,连续四年获得CNNVD年度优秀技术支持单位称号。

自主创新是天融信的基因,开放融合是天融信的理念。未来软件开发,天融信将继续加强在网络安全领域的研究与实践,进一步完善供应链安全保障,筑牢关键信息基础设施安全新防线,赋能网络空间新未来。

网站首页 公司简介 产品中心 案例展示 j9九游会新闻 技术团队 人才招聘 联系我们

核准日期:2022-07-28 j9九游会网站 版权所有
电话:400-123-4567      手机:13800000000
E-mail:www.cdqsb.com      联系人:罗宪林
地址:海南省海口市龙华区滨海街道滨海新村207号楼309房

琼ICP备2022010961号-13

扫一扫  关注微信