详细内容或原文请订阅后点击阅览
太多的软件供应链防御圣经? Boffins Distill建议
根据有关该主题的新预印本论文,如何避免有关软件供应链攻击的涉及软件供应链攻击的情况应关注的有关软件供应链攻击的情况应集中在基于角色的访问控制,系统监控和边界保护上。
来源:The Register _恶意软件有关软件供应链攻击的组织应重点关注基于角色的访问控制,系统监控和边界保护,这是根据有关该主题的新预印纸。
软件供应链是指开源和第三方软件的相互联系的生态系统,每个生态系统都带有自己的依赖网络,可能触发其他组件的下载。为这些组件和图书馆做出贡献的开发人员可能会通过错误或恶意活动包括危险的漏洞。
当不良代码进入软件供应链中时,后果可能会令人不快 - 就像最近几个备受瞩目的案例中所述的那样,在论文的标题中签名了:“关闭链条:如何降低您的solarwinds,log4j或xz fils的风险。”
北卡罗来纳州立大学和Yahoo!的预印本论文的作者开始了他们的研究,因为他们觉得组织很难从市场上的无数供应链防御工具中挑选。
预印纸具有安全意识的编码人员当然需要考虑很多建议。美国国家标准技术研究所(NIST)提供其安全的软件开发框架(SSDF [PDF])和网络安全供应链风险管理实践指南。 CISA已开发出一种自我创新形式。
ssdf 网络安全供应链风险管理实践 自我创意开源安全基金会开发了软件安全记分卡。云本机计算基础提供OWASP软件组件验证标准[PDF]和供应链安全框架(S2C2F)。
软件安全记分卡 OWASP软件组件验证标准 供应链安全框架如果赶上所有这些似乎令人生畏的话,还有一个主动的软件供应链风险管理框架,将73个供应链安全任务从10个不同的框架中提炼出来。
T1553 XKCD 927