软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节,软件供应链安全国家标准及政策的发布,为企业软件供应链安全管理提供了依据。
本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》,旨在展示统信软件在相关制度下进行的软件供应链安全管理实践。
统信软件作为基础软件供应商,在软件供应链安全管理要求国标试点过程中,结合SDL最佳实践,通过安全左移在产品研发全过程的多个阶段消除了安全隐患,降低了安全风险,提供了对产品安全性的持续保障。就安全开发与运维过程中的多个阶段,统信软件均采取相关的安全实践,如下:
1.需求分析阶段:引入安全需求分析,使系统具备相关的安全功能,从而提高系统安全性。对应实践包括安全规范的符合性分析,产品安全风险分析,新模块引入审查等。
2.系统设计阶段:将安全需求落实到软件设计工作中,对项目进行威胁建模及安全测试评估,形成安全技术方案。例如在涉及隐私信息时,应考虑采用PET隐私增强技术,包括存储加密、传输加密、展示脱敏等。
3.编码实现阶段:制定安全开发规范,将安全技术方案并入开发规范中,让安全方案有效落地,推进开发团队写出更为安全的代码。包括安全编码规范,代码入库检测,静态代码扫描,安全编译选项等。
4.测试阶段:对项目进行自动化测试和渗透测试,根据结果分析修复发现的漏洞,并进行安全性验证、可用性验证和稳定性验证。
5.交付运维阶段:基于安全应急响应中心(SRC)对漏洞进行跟踪和管理,对上线产品与项目进行持续性安全测试,及时响应安全事件,分发安全补丁。
