软件供应链安全:优秀实践请看这四方面
2023-06-29 17:33·棱镜七彩7cai
企业软件项目越来越趋于依靠第三方和开源组件,该类组件由个人创建和维护,由于其与开发重要软件的组织无雇佣关系,所以第三方不一定使用与软件开发组织相同的安全策略。这点存在着一定的安全风险,因为个人创建的安全策略与组织创建的安全策略二者之间存在着差异或不一致性,这可能会导致出现易被忽视的脆弱区域,从而给攻击者以可乘之机。
NIST早在2008年就启动了供应链风险管理计划(C-SCRM),并针对不同行业的公司的供应链进行了观察报告,总结了一份供应链风险管理的关键实践的行业观察报告。本文依据NIST SP800-161、NIST网络安全供应链风险管理实践-行业观察、《信息安全技术 软件供应链安全要求》(送审稿)等文档总结了一些软件供应链安全相关的优秀实践。
如何保障软件供应链安全
建立软件供应链安全管理组织
应建立包括信息技术、网络安全、法律、企业风险管理等职能在内的软件供应链安全管理组织,针对软件供应链安全过程中风险进行识别、响应和防范等。同时还能形成非正式的领导网络,促进软件开发组织在复杂的软件供应链关系中各部门之间的信任、强化问责机制,帮助软件开发组织在供应链安全管理中建立快速响应机制。与此同时也可将软件供应链安全的思想嵌入到企业的整个文化中,有助于企业的不断改进。
制定软件供应链安全管理要求
建立软件供应链安全管理制度和要求,确保组织在处理软件供应链风险时的一致性和有效性,成熟的组织具有正式的计划、政策、程序、流程和工具。
- 确立企业软件供应链安全的总体方针、安全制度和策略。
- 制定针对软件采购、获取、运维、废止等供应活动安全管理制度和要求。
- 确定软件供应链安全风险的持续监测、风险管理和事件响应制度等。
- 制定企业人员管理制度和供应商管理制度。
建立软件供应链安全图谱
建立软件供应链安全图谱,包括软件产品信息、软件物料清单信息和安全信息。图谱可由需方、供方或第三方机构构建或生成。建立图谱有助于了解其软件组合中使用的组件,并且充分认识和了解组件、系统和源代码之间的关系,利用图谱建立组织管理、供应活动管理等方面的供应链安全信息采集和跟踪机制。
建立企业内部第三方组件、库、工具清单
软件开发组织应该在内部建立自己的第三方组件、库和工具清单,供开发、测试、运维人员使用,防止软件开发人员、测试人员私自去外部拉取,减少人员安全意识薄弱带来的安全风险。同时也便于软件开发组织对第三方组件、库、工具进行统一管理,漏洞修复等。