功夫:2021-12-02 作者:虎符智库

本文7513字阅读约需22分钟
2021年5月12日,,,,,美国总统拜登签署了“关于改善国度网络安全(EO14028)”的行政号令,,,,,其中第4节“加强软件供给链安全”的(e)条款要求:初步指南颁布90天内(不迟于2022年2月6日),,,,,NIST应颁布加强软件供给链安全实际的指南,,,,,并明确了指南需蕴含的10余项具体内容(表3一二列)。。。。。。。。
对此,,,,,NIST订正了其2020年4月颁布的《安全软件开发框架(SSDF)V1.0》,,,,,形成V1.1草案,,,,,并于2021年9月30日至11月5日实现公开征求定见。。。。。。。。
一、SSDF根基准则
“安全左移”的理想已得到宽泛共识,,,,,软件供给链安全保险也;;;;;;;谌砑性命周期模型,,,,,但明确具体处置软件安全的SDLC模型却很少,,,,,大多是将安全实际增长其中。。。。。。。。
SSDF描述了一组基于已有尺度、指南和安全软件开发实际的基础靠得住的高层级最佳实际,,,,,可援手使用者实现安全软件开发的指标。。。。。。。。实际直接或间接(如;;;;;;;た⒒肪)涉及软件自身,,,,,即框架思考了软件供给链安全应蕴含的软件自身及有关出产身分的安全。。。。。。。。
SSDF的沉点在于实现安全软件开发实际的了局,,,,,而没有明的确现它们的工具、技术和机造。。。。。。。。SSDF并不要求所有组织拥有一样的安全指标和优先级,,,,,框架中的建议刚好反映了软件出产者可能的怪异安全预期和软件使用者可能的怪异安全需要。。。。。。。。每个实际实现的水平和大局凭据出产者预期的变动而变动。。。。。。。。
二、SSDF实际分类
SSDF是关于安全软件开发的一组实际,,,,,出现为一张描述实际的表格,,,,,可凭据必要方便的进行扩充、调整或删减。。。。。。。。SSDFV1.1草案共蕴含4类19项实际(表1一二列):
组织筹备(PO):此类实际用来确保已筹备好组织层面执行安全软件开发的人员、过程和技术(某些情况下针对单独的项目),,,,,共5项,,,,,凭据行政令要求,,,,,新增了实际“软件开发安全环境(PO.5)”;;;;;;;
;;;;;;;と砑(PS):此类实际用来;;;;;;;と砑的所有组件不受篡改和未授权接见,,,,,共3项;;;;;;;
出产安全性优良的软件(PW):此类实际用于尽量削减软件颁布版本中的安全缝隙,,,,,共8项。。。。。。。。新草案将原实际“验证第三方软件是否切合安全要求(PW.3)”归并到了PW.4中;;;;;;;
缝隙响应(RV):此类实际用来鉴别软件版本中的渣滓缝隙,,,,,适当响应以解决它们,,,,,并预防将来产生类似缝隙,,,,,共3项。。。。。。。。
表1SSDFV1.1草案中所有实际和工作



分析草案所有实际可知,,,,,19项实际覆盖了软件供给链安全应蕴含的软件自身及其出产身分的安全内容,,,,,整体框架较为全面:
(1)框架中实际涉及软件开产性命周期的需要、设计、集成第三方软件、编码、构建、测试源代码和可执行码、缝隙建复响应和分析等各个阶段的安全要求。。。。。。。。
(2)框架中实际思考到了人员、工具链、开发环境、授权接见、齐全性、安全配置等软件出产身分方面的安全和防护伎俩。。。。。。。。
三、SSDF实际细节
SSDF对每项实际的具体描述蕴含4个方面:
实际:实际的简介、唯一标识符和诠释等;;;;;;;
工作:实现实际所需的一个或多个作为。。。。。。。。V1.1草案中共43个(表1第三列,,,,,其中粗体的为新增工作,,,,,斜体的为从V1.0的其他实际中调整来的工作);;;;;;;
实现示例:可用于实现相应实际的工具、过程或其他步骤的示例;;;;;;;
参考:对美机构已有尺度指南中有关信息的引用。。。。。。。。
表1中新增和调整的工作重要涉及开发环境安全、纪录守护安全需要微风险设计决策、与第三方沟通需要、守护组件和依赖项的起源数据、使用尺度化安全个性和服务、验证第三方组件等。。。。。。。。这些进一步加强了对第三方元素、开发环境的安全治理和对安全实际的复用。。。。。。。。
表2以PW.4为例,,,,,给出了实际的齐全描述示例,,,,,可看出SSDF的假造参考了较为丰硕的文件。。。。。。。。
表2实际具体描述示例

四、与行政令要求的对应关系
SSDFV1.1草案中实际工作与行政令4(e)要求的指南应蕴含的具体内容之间的具体对应关系如表3所示。。。。。。。。?????D芄豢闯觯
(1)软件供给链安全保险中,,,,,使用自动化工具查抄已知和未知缝隙并建复依然是主题工作。。。。。。。。它涉及框架中18项工作,,,,,蕴含界说查抄尺度、设计、集成、编码、构建、代码审查和缝隙分析、基线配置、缝隙信息网络、建复等各环节、各身分中与缝隙有关的工作。。。。。。。。其中PW.4.4、PW.5.1、PW.7.1、PW.7.2和PW.8.2是查抄缝隙的重要工作,,,,,多由有经验的安全人员在SAST、SCA、IAST等类型工具的辅助下实现。。。。。。。。
(2)实际“复用安全软件(PW.4)”的工作蕴含获取或守护安全靠得住的内部和第三方组件、验证第三方组件切合组织要求、验证第三方组件的齐全性和起源等。。。。。。。。这些工作多用于供给链起源、节造和齐全性方面的安全要求(3、4、6、10)的应对规划中。。。。。。。。其中第三方组件的验证能够使用SCA工具进行。。。。。。。。
(3)新增“开发的安全环境(PO.5)”的两项工作可用于行政令多项要求(1(1)-(6)、2、3、5、6)的应对规划中。。。。。。。。这注明在供给链安全中,,,,,软件开发环境已成为沉点思考的成分之一。。。。。。。。
表3SSDF工作与行政令要求的对应关系

关于作者

董国伟,,,,,ca88登陆平台代码安全事业部专家,,,,,博士,,,,,从事网络安全、软件安全、代码审计和缝隙分析有关工作10余年。。。。。。。。

旗下网站
关于ca88登陆平台
95015服务热线
微信公家号
立即拨打