美国网络安全和基础设施安全局(CISA)、国家安全局 (NSA) 和国家情报总监办公室 (ODNI) 发布了关于保护软件供应链安全的最后一篇指南《软件供应链安全客户实践建议指南》,前两篇指南分别针对的是开发人员和供应商。
《软件供应链安全客户实践指南》提出了客户在购买、部署和使用软件时应该遵循的实践,并提供了相关攻击场景和缓解措施。
关于软件采购,这三家机构建议注意所在组织机构的需求,包括安全和供应链风险管理 (SCRM) 活动、执行产品评估如评估BOM以及在签署合同前对供应商进行评估。这样做将有助于缓解与所采购产品相关的风险:产品不满足需求、受漏洞影响或遭篡改、或与受外国控制的或安全治理不良的供应商签订合同等。
对于软件部署,该指南建议客户在收到产品时进行全面检查、执行功能测试并从安全角度验证产品、设立负责产品生命周期的配置控制委员会、确保产品与现有环境集成以及监控更新等。
这些部署控制可消除多种风险如被替代或不完整的产品、功能中的异常变更、使用未经验证的组件、出现恶意软件或恶意功能、发生数据泄露、基础设施被攻陷、产品报告不完整、出现支持问题、集成评估不完整或错误以及存在潜在的恶意或受陷更新等。
该指南建议组织机构正确处理已达生命周期的或已被弃用的产品,并确保为新产品执行新的有效培训计划。
另外,指南建议软件客户了解产品的运营方式,确保找到漏洞和功能变更问题、及时应用更新、在组织机构受害前消除恶意软件。
原文链接:
https://www.securityweek.com/us-gov-issues-software-supply-chain-security-guidance-customers
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
