亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

Linux基金會提出軟件安全開發(fā)十項指導(dǎo)原則

日前,在日本東京舉行的OpenSSF Day主題研討活動上,Linux基金會旗下的非營利組織OpenSSF提出了旨在幫助企業(yè)組織開發(fā)更安全軟件應(yīng)用系統(tǒng)的十項指導(dǎo)原則。原則概述了軟件系統(tǒng)的開發(fā)企業(yè)和服務(wù)商在開發(fā)過程中應(yīng)該努力遵循的核心安全性最佳實踐,并且強調(diào)了要在整個軟件生命周期中采取積極主動的安全方法。

 

OpenSSF開源供應(yīng)鏈安全主管David A. Wheeler表示,提出這些原則的初衷是希望企業(yè)組織能夠采用這些方法開發(fā)出具有原生化安全能力的應(yīng)用軟件系統(tǒng),實現(xiàn)安全能力左移。這些原則涵蓋了一系列已被實踐驗證的安全保障措施,從安全功能融入設(shè)計到實現(xiàn)應(yīng)用軟件可觀察性等不一而足。

 

具體原則內(nèi)容包括:

 

 

1.在軟件開發(fā)過程中采用符合行業(yè)規(guī)范,并已被廣泛應(yīng)用的現(xiàn)代安全開發(fā)方法;

2.要求軟件開發(fā)人員學(xué)習(xí)和運用安全軟件設(shè)計原則,比如最小權(quán)限原則等;

 

3.要讓開發(fā)團隊了解最常見的漏洞類型,同時采取措施,在軟件開發(fā)過程中阻止漏洞的引入或限制其影響;

 

 

4.在軟件系統(tǒng)正式發(fā)布前進行充分的安全性檢查,發(fā)現(xiàn)并解決其中可能存在各類型漏洞,并在產(chǎn)品正式發(fā)布后實施持續(xù)性的漏洞監(jiān)測措施;

 

 

5.要加強對軟件開發(fā)基礎(chǔ)設(shè)施的保護,防止其受到惡意攻擊或滲透,確保在此基礎(chǔ)上開展的各項軟件研發(fā)活動安全合規(guī);

 

 

6.企業(yè)應(yīng)該優(yōu)先考慮和能夠遵守安全指導(dǎo)原則的軟件開發(fā)商合作,并通過公開披露的安全指標(biāo)數(shù)據(jù)及時評估軟件供應(yīng)商的風(fēng)險態(tài)勢。一旦發(fā)現(xiàn)惡意軟件的跡象應(yīng)該立即采取響應(yīng)措施;

 

 

7.要讓軟件系統(tǒng)的使用者能夠了解軟件供應(yīng)鏈狀態(tài),并讓其中的安全防護措施與不斷發(fā)展的行業(yè)監(jiān)管標(biāo)準(zhǔn)保持一致;

 

 

8.企業(yè)應(yīng)該制定負責(zé)人的漏洞管理和披露計劃,這類計劃應(yīng)該包括對第三方代碼引用的依賴項,并附有報告和補救漏洞的響應(yīng)策略;

 

 

9.企業(yè)應(yīng)定期發(fā)布與行業(yè)最佳實踐相一致的安全性公告;

 

 

10.企業(yè)應(yīng)該積極地與行業(yè)監(jiān)管組織合作,并通過參與其活動,加強與業(yè)界同仁的經(jīng)驗交流。

 

 

Wheeler指出,對于希望實施這些安全指導(dǎo)原則的組織來說,可能會存在各種類型的困難。其中最大的挑戰(zhàn)是開發(fā)文化。因為開發(fā)軟件通常是為了實現(xiàn)某些特定的應(yīng)用功能,而安全性往往不被考慮。因此,OpenSSF并不希望通過強制要求的方式去讓每一家軟件開發(fā)企業(yè)都去遵守這些原則,而是需要通過多種方式讓企業(yè)真正理解、認(rèn)同并參考應(yīng)用。OpenSSF將會為希望實現(xiàn)這些原則的組織提供培訓(xùn)、工具和指導(dǎo),從而推動這些原則的落地。

 

 

 

 

文章來源:安全牛

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號