软件供应链安全视角下的安全开发研究和应用

最新推荐文章于 2024-05-28 16:54:10 发布
最新推荐文章于 2024-05-28 16:54:10 发布
阅读量746 收藏 12
点赞数 25
分类专栏: 物联网及AI前沿技术专栏 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzq0625/article/details/134700433
版权

摘 要

信息化时代软件成为社会运作基本组件,地位及其重要性不断提高。特别是数字中国建设的提出进一步强化了软件的地位,软件行业快速发展并通过软件定义快速融入生活的方方面面。随之而来的软件供应链安全问题也趋于复杂化和多样化,软件供应链安全问题已经成为一个全球性的问题。从软件生产者视角研究了软件供应链安全体系,并通过安全开发实践,提出了软件开发过程中保障软件供应链安全的开发方法。通过提供软件出生前的安全保障,尽可能地消除软件安全缺陷,确保向下游交付安全的软件,以保护软件供应链安全不受或者少受攻击。

内容目录:

1 背 景

2 业界软件供应链安全体系

3 软件供应链安全解决方案

3.1 企业解决方案

3.2 安全开发流程

4 安全开发实践

4.1 开发环境安全

4.2 开源安全

4.3 安全工具链

5 特色做法

5.1 开发流程各环节的管控工具化

5.2 开源及第三方软件和组件入库管控更严格

5.3 实现出口精细化管控

6 实践效果

7 结 语

《“十四五”软件和信息技术服务业发展规划》指出,软件是新一代信息技术的灵魂,是数字经济发展的基础,是制造强国、网络强国、数字中国建设的关键支撑。随着现代软件开发过程的不断演进,以及新技术平台的出现,特别是以开源为主的开发方式的出现,使得软件供应链条变得越来越复杂,暴露给攻击者的攻击面越来越多,攻击事件频发,从而对用户隐私、财产乃至国家安全造成重大威胁。

软件成为支撑社会正常运转的基本组件的同时,软件的安全问题也被认为是根本性、基础性问题,保障软件供应链安

了解本专栏 订阅专栏 解锁全文 超级会员免费看
罗思付之技术屋
关注
  • 25
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
供应链安全、勒索攻击、AI赋能——2022网络安全技术呈何趋势?
Anprou的博客
03-25 833
中国信息安全、腾讯安全联合实验室及腾讯研究院共同发布《2022产业安全十大趋势》,在“产业安全宏观态势”、“产业安全实践”、“产业安全技术演进”三个维度中,专家们对“技术演进”维度讨论的篇幅最长,着墨最多,行业反响者众。 技术进步及IT工业化水平的提升,给数字化带来了很大的助力,但技术赋能建设的同时也在赋能攻击,IT工业化水平提升的背后,是某个软件被攻陷会带来一连串下游企业受影响,XcodeGhost、Solarwinds……网络安全不再是特定人的专属,而是多数人都应该关心的工作,如何理解技术发展...
剖析美国政府视角下的ICT供应链安全
murphysec的博客
03-25 918
2018 年 11 月 15 日,美国国土安全部(DHS)宣布成立了信息和通信技术 (ICT) 供应链风险管理(SCRM)工作组,这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。之后该组织非常活跃,2024 年 2 月 6 日,该组织刚刚宣布将工作组延长两年。
文献阅读笔记 # 开源软件供应链安全研究综述
skysys的研究小屋
02-23 1564
本文总结了开源软件供应链的关键环节, 基于近10年的攻击事件总结了开源软件供应链的威胁模型和安全趋势, 并通过对现有安全研究成果的调研分析, 从风险识别和加固防御两个方面总结了开源软件供应链安全研究现状, 最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结。
供应链攻击做网络安全渗透测试工作
securitypaper的博客
10-12 735
供应链攻击也叫第三方攻击,是蓝队在实战攻防演练中采取的一 种迂回攻击手段。目标网络建设所需各项关键基础设施和重要资源严 重依赖第三方产品和服务提供商,并且大多数目标用户对第三方提供 商的产品和服务是信任的,这就为攻击者开展供应链攻击提供了条 件。供应链攻击在外网纵向突破和内网横向拓展中均有运用
软件供应链安全是什么,如果做到防护的最佳实践
HoewDec的博客
04-29 552
受损软件后续会危害客户的数据或系统。”换个说法:黑客入侵了你信任的供应商并将恶意代码注入到其产品中,然后这些产品最终会进入到你的系统里,可能会导致黑客能够访问你的敏感数据,或者破坏你的代码从而染指你的客户,让你面临勒索软件攻击或其他恶意活动风险。下载后,攻击者就可以利用恶意包中的恶意软件盗取用户名和密码等私密信息,用以在组织的基础设施中横向移动,并向外突破,染指组织的客户和合作伙伴。ENISA的另一重要发现是,所分析的供应链攻击中,超过半数供应商要么不知道攻击已经发生,要么隐瞒了攻击已发生的事实。
墨菲安全受邀与腾讯安全共话软件供应链安全治理
murphysec的博客
05-19 546
墨菲安全是一家专注于软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。 一、墨菲安全受邀参加腾讯安全云鼎实验室公开课分享 2022年4月27日,墨菲安全受腾讯安全云鼎实验室邀请为腾讯的工程师们分享软件供应链安全解决方案,软件供应链由多方、多流程、多角色构成,供应者所带来.
论坛回顾|蚂蚁供应链安全建设实践
murphysec的博客
12-22 518
蚂蚁从供应链相关的风险来区分供应链安全,对我们实际的业务造成了安全影响,就把它定为一个供应链安全相关的范畴。蚂蚁当前最大供应链风险:代码的直接或间接依赖、三方软件。直接依赖源代码代码的直接依赖运行时系统软件容器镜像及OS底层硬件设备间接依赖研发工具、平台代码的间接依赖制品下载分发平台人、角色制品更新平台次间接依赖人所处物理环境人使用的设备人所在网络环境间接依赖的上下游……
悬镜安全random:解密供应链安全情报的头号黑客
科技大视野 — 科技大视野,行走科技发展前沿
04-26 822
目前,情报中心已经训练出在数字供应链局部细分领域非常有效的安全大模型,极大地提高了供应链安全情报生产运营的质量、效率和用户体验,包括对供应链情报预警数据的增强调优、对漏洞代码的智能修复推荐、对开源许可证的智能咨询以及针对漏洞组件进行安全升级智能推荐等,预计在2024年5月份会正式上线“悬镜云脉”智能供应链安全大脑的部分访问服务。作为数字供应链安全情报的底座,数字供应链安全主要的关注对象有三大部分,首先是数字应用安全,包括应用安全开发、开源治理及数字免疫;最后是供应链数据安全,包括API安全应用数据安全
SCA 技术进阶系列(五): 揭秘运行时SCA - 新视角下的供应链安全革新
Anprou的博客
03-01 1053
运行时SCA凭借精准识别数字应用运行加载时真正使用到的第三方组件及依赖,在应用测试和上线运营场景有着更广泛的应用场景。
网络安全创新大会CIS2020PPT全打包
08-17
DevSecOps软件供应链安全的机遇与挑战 壹钱包安全开发体系3.0落地实践 赋能企业安全开发:DevSecOps最新标准解读 DevSecOps敏捷安全技术落地实践探索 Security By Default:MyBatis框架下SQL注入解决方案 黑...
QCon 2022全球软件开发大会广州站(公开)PPT汇总(36份).zip
08-25
大规模代码中引入供应链漏洞的分析技术前瞻 低代码的数字化转型实践 分布式文件系统JuiceFS架构演进实践 对公业务移动平台生态建设实践 直播从微服务架构向虚拟服务架构演进之路 互联网服务的容量规划和服务效率提升...
CIS 2020PPT汇总(48份).zip
01-03
'DevSecOps敏捷安全技术落地实践探索.pdf', 'DevSecOps软件供应链安全的机遇与挑战.pdf', 'EvilEssid to bypass WIPS surveilled environments.pdf', 'k0otkit:针对K8s集群的通用后渗透控制技术.pdf', 'MTK安全...
简述智能化生产技术在炼化一体化项目上的应用
01-20
随着世界范围内石油化工生产技术的不断...要在激烈的国际竞争中脱颖而出,我们必须拥有化视角和中国化创新,积极开发如数字油田、供应链一体化、物联网和云计算等先进的信息技术手段,以信息化带动工业化,以工业化促
工业电子中的简述智能化生产技术在炼化一体化项目上的应用
10-22
随着世界范围内石油化工生产技术的不断进步,石油...要在激烈的国际竞争中脱颖而出,我们必须拥有全球化视角和中国化创新,积极开发如数字油田、供应链一体化、物联网和云计算等先进的信息技术手段,以信息化带动工业化
简单3步,ERP、OA、CRM等客户端,安全远程访问服务端
oray2013的专栏
05-22 277
然而,如何确保在不同地点的员工都能安全、便捷地访问公司内网的C/S(Client/Server)架构办公系统,是一个亟待解决的问题。采用贝锐花生壳内网穿透服务,可以简化这些步骤,使得远程访问变得异常简单。无需公网IP,无需繁琐的路由和网关配置,简单三步,即可实现远程访问。目前,除了上述举例的ERP系统,市面上主流C/S(Client/Server)架构办公系统均可搭配贝锐花生壳实现远程访问。传统的远程访问解决方案往往需要复杂的网络配置,包括公网IP的申请、路由和网关的设置等。
汽车制造业安全有效的设计图纸文件外发系统是什么样的?
镭速的博客
05-28 410
在汽车制造的设计图发送过程中,安全和效率是公司最关心的两个点。镭速凭借它的高效稳定的传送性能、强大的安全特性、灵活的权限控制和全方位的服务,给企业提供了一个既安全又可靠、既高效又高效的设计图发送解决方案。随着公司对数据安全和工作效率的要求越来越高,镭速肯定会成为汽车制造公司设计图发送的首选。
F5发布2024年5月季度安全通告
2401_84434570的博客
05-22 1277
F5 BIG-IP Next Central Manager OData注入漏洞。F5 BIG-IP Next Central Manager SQL注入漏洞。F5 BIG-IP Next Central Manager中间人攻击漏洞。F5 BIG-IP Next Central Manager中间人攻击漏洞。F5 BIG-IP APM浏览器网络访问VPN客户端来源验证错误漏洞。F5 BIG-IP Next CNF信息泄露漏洞。F5 BIG-IP配置实用程序跨站脚本漏洞。
电脑记事软件哪款安全?好用且安全的桌面记事工具
最新发布
2401_83063993的博客
05-28 206
它采用了HTTPS、SASL、Secret Key等多重安全认证,确保我的数据在传输和存储过程中都得到了严格的保护。它允许我将重要的内容独立显示在软件之外,这样我就不用再软件中翻找,从而快速查看关键信息。然而,在享受电脑记事便捷性的同时,我也曾担忧过数据的安全性。毕竟,这些记录中包含了大量的工作信息和私人想法,一旦泄露,后果不堪设想。更重要的是,敬业签支持记录多种类型的内容,包括文字、图片、视频和文件,这极大地丰富了我的记事方式。总之,敬业签不仅提供了便捷、多样的记事功能,还在数据安全方面做得非常出色。
软件供应链安全白皮书 pdf
07-06
这些实践和建议可以帮助组织确保他们使用的软件供应链是可信的和安全的。 最后,白皮书还可能提供一些关于软件供应链安全的案例研究,以及相关的法律合规要求。这能够帮助组织更好地理解软件供应链安全领域的现状和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罗思付之技术屋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值