美国国安局(NSA)、国土安全部网络安全与基础设施安全局(CISA)及国家情报总监办公室(ODNI)日前联合发布《面向开发者的软件供应链安全指引》(Securing the Software Supply Chain for Developers),该文件由“持久安全框架软件供应链工作组”——隶属于美国关键基础设施合作顾问委员会(CIPAC),成员包括美国政府专家及信息技术、通信、国防等行业代表,负责为应对美国国家安全系统所面临之威胁和风险开展工作的跨领域工作组——编制,是美国联邦政府网络安全职能机构依照白宫第14028号行政令《加强美国网络安全性》所提“保障美国联邦政府软件供应链”要求而发布的首份软件安全指引,之后还将发布分别面向软件供应商和用户的另外两份指引。
《面向开发者的软件供应链安全指引》从结构上分成三部分:第一部分为综述和编写背景;第二部分提出开发者可用于为软件开发生命周期(SDLC)提供安全保障的相关原则及建议;第三部分则包含可作为软件供应链安全知识参考的六个附录。
在内容方面,《面向开发者的软件供应链安全指引》提出了针对开源代码管理、验证第三方组件、交付代码、组件维护、加固编译环境等方面的最佳实践,同时还包含了若干威胁场景和相应的处置建议。该文件“强烈建议”开发者在执行从安全角度设计软件架构、维护安全性及底层基础设施等任务时参考文中相关安全指引,同时建立可识别、收集和跟踪产品缺陷的漏洞提交系统以及愿与外部安全研究人员协作的产品安全事件响应团队来加强对潜在漏洞的处置效能。
《面向开发者的软件供应链安全指引》请参考:https://media.defense.gov/2022/Sep/01/2003068942/-1/-1/0/ESF_SECURING_THE_SOFTWARE_SUPPLY_CHAIN_DEVELOPERS.PDF
声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
