软件供应链安全中的SSDF框架到底是什么?

已于 2022-09-07 10:26:09 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: 软件供应链 DevSecOps分享 文章标签: 安全
于 2022-09-07 10:16:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/126739848
版权

2021年5月12日,美国总统拜登签署了“关于改善国家网络安全(EO 14028)”的行政命令,其中第4节“加强软件供应链安全”的(e)条款要求:初步指南发布90天内(不迟于2022年2月6日),NIST应发布加强软件供应链安全实践的指南,并明确了指南需包含的10余项具体内容(表3一二列)。

对此,NIST修订了其2020年4月发布的《安全软件开发框架(SSDF) V1.0》,形成V1.1草案,并于2021年9月30日至11月5日完成公开征求意见。

一、 SSDF基本原则

软件开发生命周期(SDLC)是一种用于设计、创建和维护软件的方法。SDLC 有不同的变体,包括瀑布式、螺旋式和敏捷式。无论组织使用哪种变体,对于组织来说,拥有安全的软件开发实践是非常重要的。

根据美国国家标准与技术研究所(NIST)的研究,这有三个主要原因:

  1. 减少已发布软件的漏洞数量
最低0.47元/天 解锁文章
从主流安全开发框架软件供应链安全保障的落地.docx
12-15
软件供应链安全保障的落地中,需要从多方面考虑,包括软件供应链安全挑战、安全开发框架软件供应链安全治理和应用实践等。以下是相关知识点的详细说明: 软件供应链安全挑战 随着软件供应链的复杂化和多样化...
NIST正式发布网络安全框架 2.0最终版:相比之前两个版本的六大重大变化
02-29
2月26日美国国家标准与技术研究院 (NIST) 正式发布了更新后的网络安全框架 (CSF),这是其降低网络安全风险的里程碑式指导文件。新的 2.0 版本专为所有行业部门和组织类型而设计,从最小的学校和非营利组织到最大的机构和公司,无论其网络安全的复杂程度如何。 (详细信息和相关资源下载可以访问:https://www.nist.gov/cyberframework)
安全软件开发框架 (SSDF) 1.1 版.pdf
02-10
安全软件开发框架 (SSDF) 降低软件漏洞风险的建议
NIST-软件安全开发框架(中文版).pdf
05-24
不管是什么 SDLC 方法,应当把软件安全开发实践在整个过程中进行集成,目的有三个:一是减少发布软件的漏洞数量;二是缓解未检出或 未处置漏洞被利用时的影响;三是找出安全漏洞产生的根本原因加以处置以避免再生。有很多安全方面的考虑可以在 SDLC 的多个阶段实施,但是一般情况下,越早处置安全问题,达到相同的安全水平所需的努力和成本就越低。这个原则被称为“左移(shifting left)”,它非常重要,且 无关于所采用的 SDLC 方法。 SSDF 白皮书没有引入新的实践或定义新的术语,相反,它基于现有的标准、指南和软件安全开发实践文档,描述了一个高级别实践的集合。
SLSA 框架软件供应链安全防护
分享 GPU 管理与大模型推理相关技术实践
07-08 1009
SLSA 旨在确保软件开发和部署过程的安全性,从而保障软件供应链安全
从主流安全开发框架软件供应链安全保障的落地
smellycat000的专栏
03-31 998
本文3409字阅读约需10分钟从SolarWinds攻击到Log4j漏洞,再到近期以反战名义对开源软件供应链投毒事件,软件供应链安全问题愈演愈烈,因其带来的巨大危害引发全球关注。寻求有效、可落地的保障方法成为软件供应链相关各方的共同目标。安全开发框架作为软件开发生命周期中各阶段安全实践、活动和措施的集合,能够指导使用者提高软件生产和产品的安全性,并且它们越来越多的将...
Gartner发布降低企业软件供应链安全风险指南:全球软件供应链相关法规、指南以及企业需要开展的三个方面工作
lurenjia404的博客
05-11 1115
软件供应链攻击呈三位数增长,但很少有企业机构采取措施对这些复杂攻击的风险进行评估。安全和风险管理领导者可参考本文,采用三种实践来检测和预防攻击,保护企业机构的安全
软件供应链安全治理实践指南白皮书.pdf
10-13
软件供应链安全治理框架中,白皮书提出了SLSAv1.0框架SSDF框架,分别从不同角度出发,为软件供应链安全提供了可供参考的治理模型。在治理理念方面,白皮书强调了“可展示软件成分”的理念,即软件的各个组件和...
为增强软件供应链安全,NIST 发布《开发者软件验证最低标准指南》
smellycat000的专栏
07-30 878
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也...
SSDF攻击及防御PPT及讲稿
最新发布
XLYcmy的博客
10-21 777
引入信任机制后,恶意用户若行为不良,将会得到较低的信任值,这样其提交的频谱感知解决在数据融合过程中就会分配到较低的加权因子,从而恶意用户对频谱感知的影响就会降低。本章提出的基于信誉机制的安全协作频谱感知策略,考虑 了对内部攻击的恶意次用户进行识别与惩罚,特别是协作频谱感知中的SSDF第二种攻击方式,较好的克服数据融合中常用的"And"策略、“Or”策 略的劣势,可靠频谱感知技术的目的是增强频谱感知的有效性,准确识别出提交错误感知结果的恶意用户,从而达到防御 SSDF攻击的目的。一部分是信誉机制的计算;
美国NIST《网络安全框架》中英文版
08-09
美国NIST《网络安全框架》cybersecurity-framework-021214中英文版
简单结构化数据格式 (SSDF):SSDF 是一种用于存储结构化(科学)数据的格式。-matlab开发
05-30
简单结构化数据格式 (SSDF) 是一种用于存储结构化(科学)数据的格式。 该格式的目标是易于人类和计算机阅读。 它旨在用于 Python 或 Matlab 等解释型语言,但也可用于支持下列七种数据类型的任何语言。 数据结构中的元素可以是七个不同的数据元素之一,其中前两个是容器元素(可以嵌套): * 字典(Python 中的 ssdf.Struct 对象) * 列表(没有名称的元素) * (Unicode) 字符串* 浮动标量* int标量* (numpy) 任何类型和形状的数组* 空(无) SSDF 具有与 JSON 相似的目标,但也能够(相对)高效地存储二进制数据,并且更易于阅读。 有关详细信息,请参阅http://code.google.com/p/ssdf/ 。
NIST随机性测试套件
03-08
美国国家标准与技术研究所提供的Special Publication800-22测试包(简称NIST随机性测试)。 NIST测试程序是一个统计包,包括 16 种测试手段。这些测试手段可测试由用作保密随机或者伪随机数发生器的硬件和软件产生的任意长的 2 进制序列的随机性。这些测试手段主要致力于判定可能存在于序列中的多种多样的非随机性。其中一些测试又可以分解成多种子测验。 亲测可用哦
NISP-网络安全防护与实践
CH_wu9的博客
09-13 553
文章目录NISP-网络安全防护与实践1.虚拟专用网(VPN)(1).VPN的基本原理(2).VPN的主要类型(3).VPN的功能特性2.IPSec协议3.SSL安全套接层协议层 NISP-网络安全防护与实践 1.虚拟专用网(VPN) 概述: VPN就是利用公用网络把远程站点或用户连接起来的专用网络 一个连接通常由客户机,传输介质和服务器三部分组成 VPN连接使用隧道(Tunnel)作为传输通道,...
安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(二)
daopuyun的博客
07-04 239
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。环境的名称也是如此,比如“开发”、“构建”、“试运行”、“集成”、“测试”、“生产”和“发布”,这些名称在不同的组织和项目中也有很大的不同。4、应对漏洞(RV):组织应识别其软件版本中的残余漏洞,并做出适当的响应,解决这些漏洞,防止将来发生类似的漏洞。指向一个或多个已建立的安全开发实践文档以及到特定的任务。
SSDF攻击、防御与展望
XLYcmy的博客
10-18 631
在现有的研究成果中,集中式防御策略比重较大,其中应用较多的主要有以下3类:基于贝叶斯理论的SSDF防御策略、基于加权序贯概率比检测的SSDF防御策略和基于信誉机制的SSDF防御策略。被识别的恶意的和不合适的主用户被限制机会性的设备到设备(D2D)通信。随着无线通信业务的不断发展,频域也越来越成为了一种珍贵的稀缺资源,与此同时,相应的无线电安全问题层出不穷,为无线通信造成了十分恶劣的影响,本文从深入理解认知无线电安全开始,对一些典型的无线电安全防御技术进行介绍,尤其详细介绍SSDF技术的方法与展望。
安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(一)
daopuyun的博客
07-04 310
无论使用哪种SDLC模型,都应该将安全软件开发实践集成到整个过程中,原因有三:减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,以及解决漏洞的根本原因以防止再次发生。安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。本文档并不是介绍新的实践或定义新的术语,介绍的是基于已建立的标准、指南和安全软件开发实践文档基础上的的高级实践。
美国“工信部“2024年发布了网络安全框架CSF 2.0,相比1.0有哪些变化,又给我们带来了哪些启示?
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-15 2959
NIST的网络安全框架(CSF)旨在帮助所有组织(不仅仅是关键基础设施中的组织,以及其最初的目标受众)管理和降低风险。NIST于2024年更新了广泛使用的网络安全框架CSF,发布了CSF 2.0,成为了降低网络安全风险的里程碑式指导文件,点此获取CSF 2.0官方文档(访问密码:6277)。治理是指建立和监控组织的信息安全风险管理战略、期望和政策。治理功能是跨领域的,并提供结果以告知组织将如何在其使命和干系人期望的背景下实现其他五个功能(识别、保护、检测、响应、恢复)的结果并对其进行优先级排序。
Gartner发布降低软件供应链安全风险指南
lurenjia404的博客
11-28 1310
Gartner发布降低软件供应链安全风险指南:保障软件供应链安全的八大关键举措 软件供应链攻击已呈三位数增长,但很少有组织采取措施评估这些复杂攻击的风险。这项研究提供了安全和风险管理领导者可以用来检测和预防攻击并保护其组织的三种实践。 主要发现 尽管软件供应链攻击急剧增加,但安全评估并未作为供应商风险管理或采购活动的一部分进行。这使得组织容易受到攻击。 安全团队很难应对漏洞,尤其是当该漏洞包含在软件依赖项中时。由于软件组件传统上并未公开,因此对于试图确定它们是否受到影响的团队来说,它们的内容通常是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值