美国政府发布《软件供应链安全客户实践建议指南》
聚焦源代码安全,网罗国内外最新资讯!
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
美国网络安全和基础设施安全局(CISA)、国家安全局 (NSA) 和国家情报总监办公室 (ODNI) 发布了关于保护软件供应链安全的最后一篇指南《软件供应链安全客户实践建议指南》,前两篇指南分别针对的是开发人员和供应商。
《软件供应链安全客户实践指南》提出了客户在购买、部署和使用软件时应该遵循的实践,并提供了相关攻击场景和缓解措施。
关于软件采购,这三家机构建议注意所在组织机构的需求,包括安全和供应链风险管理 (SCRM) 活动、执行产品评估如评估BOM以及在签署合同前对供应商进行评估。这样做将有助于缓解与所采购产品相关的风险:产品不满足需求、受漏洞影响或遭篡改、或与受外国控制的或安全治理不良的供应商签订合同等。
对于软件部署,该指南建议客户在收到产品时进行全面检查、执行功能测试并从安全角度验证产品、设立负责产品生命周期的配置控制委员会、确保产品与现有环境集成以及监控更新等。
这些部署控制可消除多种风险如被替代或不完整的产品、功能中的异常变更、使用未经验证的组件、出现恶意软件或恶意功能、发生数据泄露、基础设施被攻陷、产品报告不完整、出现支持问题、集成评估不完整或错误以及存在潜在的恶意或受陷更新等。
该指南建议组织机构正确处理已达生命周期的或已被弃用的产品,并确保为新产品执行新的有效培训计划。
另外,指南建议软件客户了解产品的运营方式,确保找到漏洞和功能变更问题、及时应用更新、在组织机构受害前消除恶意软件。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
在线阅读版:《2022中国软件供应链安全分析报告》全文
在线阅读版:《2021中国软件供应链安全分析报告》全文
美国政府发布软件供应链供方实践建议指南
NISA和CISA分享软件供应链安全建议
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整
Apache Cassandra 开源数据库软件修复高危RCE漏洞
美国国土安全部:Log4j 漏洞的影响将持续十年或更久
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击
LofyGang 组织利用200个恶意NPM包投毒开源软件
软件和应用安全的六大金科玉律
美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)
OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节
美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全
美国软件供应链安全行动中的科技巨头们
Apache开源项目 Xalan-J 整数截断可导致任意代码执行
谷歌推出开源软件漏洞奖励计划,提振软件供应链安全
黑客攻陷Okta发动供应链攻击,影响130多家组织机构
Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多
开源web应用中存在三个XSS漏洞,可导致系统遭攻陷
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
美国国土安全部:Log4j 漏洞的影响将持续十年或更久
美国国土安全部:Log4j 漏洞的影响将持续十年或更久
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
更好的 DevSecOps,更安全的应用
他坦白:只是为了研究才劫持流行库的,你信吗?
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
从美行政令看软件供应链安全标准体系的构建
研究员发现针对 GitLab CI 管道的供应链攻击
五眼联盟:管理服务提供商遭受的供应链攻击不断增多
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
RubyGems 包管理器中存在严重的 Gems 接管漏洞
美国商务部机构建议这样生成软件供应链 “身份证”
《软件供应商手册:SBOM的生成和提供》解读
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
NPM逻辑缺陷可用于分发恶意包,触发供应链攻击
攻击者“完全自动化”发动NPM供应链攻击
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
哪些NPM仓库更易遭供应链攻击?研究员给出了预测指标
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
25个恶意JavaScript 库通过NPM官方包仓库分发
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
开源网站内容管理系统Micorweber存在XSS漏洞
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
开源工具 PrivateBin 修复XSS 漏洞
奇安信开源组件安全治理解决方案——开源卫士
原文链接:
https://www.securityweek.com/us-gov-issues-software-supply-chain-security-guidance-customers
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
美国政府发布《软件供应链安全客户实践建议指南》相关推荐
- 美国商务部发布软件物料清单 (SBOM) 的最小元素(下)
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 美国政府发布关键海事行业的网络安全规划
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 美国政府发布了关于关键海事行业的威胁缓解和安全防护的规划,提到了应优先处理的任务清单. 这项规划名为<国家海事网络安全规划> ...
- Salesforce 容器化 ISV 场景下的软件供应链安全落地实践
随着企业 IT 数字化转型演变进程,越来越多的企业采用云原生化架构升级的方式,改善应用开发运维迭代的效率,加速企业业务创新迭代,改进资源弹性管理和迁移的效率,帮助企业降本增效.但是由于云原生弹性.敏捷 ...
- 美国 CISA 和 NIST 联合发布软件供应链攻击相关风险及缓解措施
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- 美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 美国商务部发布软件物料清单 (SBOM) 的最小元素(上)
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 美国发布新的国家网络安全战略:软件安全责任转移,重视软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 链中链?造成3CX 软件供应链事件的是另外一起供应链事件?
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 美国CISA将设立供应链风险管理办公室
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
最新文章
- c语言单链表冒泡排序的步骤,急!!求c语言单链表冒泡排序的详细流程图
- OpenCV imgproc分割(segmentation)的实例(附完整代码)
- Django上传文件及分页
- .NET 大会今日开幕 |这些白嫖福利不看肠子都悔青
- java web junit_如何使用junit测试javaweb工程
- 网络的性能指标与分组交换网络
- Android--获取安装的程序信息
- Linux开机启动过程(13):start_kernel()->setup_arch()完结
- 办公室网络域控制器管理方案
- 从 Jacobian 矩阵、Hessian 矩阵到 Theano 实现
- 出去锻炼还是不让数据科学决定
- 山东大学软件学院操作系统实验的准备
- 模式识别和计算机科学与技术,模式识别与智能系统
- 综合布线施工工艺--
- 排列奇偶性与排序的关系
- java 篮球队淘汰赛_篮球淘汰赛怎么安排 6支篮球队淘汰赛图
- guid分区怎么装win7_如何在GUID分区装win7系统并以UEFI启动?
- GIS系列(三)几种互联网地图服务背后的解读(WMS,WFS,WMTS,TMS)
- Android 7.0 Nougat(牛轧糖)---对开发者来说
- MFC单项选择题标准化考试系统
热门文章
- STMF103定时器
- 手机android版本2.3.6可以安装哪个版本的音乐播放器,喜马拉雅fm老版本2.3.6下载...
- 09组团队项目-Alpha冲刺-4/6
- 清理Maven仓库冗余文件(lastUpdated、m2e-lastUpdated.properties、空文件夹)脚本
- Linux命令之统计文件字数、字符数、字节数及行数信息wc
- php 判断字数,php统计字数
- 房贷计算器(包含商业贷款和公积金贷款) 两种思路
- NAND FLASH 内存详解与读写寻址方式
- Bugku--散乱的密文
- 华为吹响“伙伴暨开发者”集结号:共赢数字时代