XiaoMi-AI文件搜索系统
World File Search System安全软件
确保软件供应链安全:管理建议做法
本文件仅供一般参考之用。以商品名、商标、制造商或其他方式提及任何特定商业产品、工艺或服务,并不构成或暗示美国政府的认可、推荐或偏袒。本文件旨在适用于各种实际情况和行业利益相关者,此处提供的信息仅供参考。本文件中的指南按“原样”提供。一旦发布,其中的信息可能不构成最新的指南或技术信息。因此,该文件不构成合规或法律建议,也不旨在构成合规或法律建议。读者应咨询各自的顾问和主题专家,根据个人情况获取建议。在任何情况下,美国政府均不对因使用或依赖本指南而产生的任何损害负责。
将开放式生成人工智能融入软件供应链安全
摘要 — 新技术不断涌现,但人为错误却始终存在。软件供应链日益复杂且相互交织,服务安全已成为确保产品完整性、保护数据隐私和维持运营连续性的重中之重。在这项工作中,我们对有前途的开放式大型语言模型 (LLM) 进行了实验,以应对两个主要的软件安全挑战:源代码语言错误和弃用代码,重点关注它们是否有潜力取代依赖预定义规则和模式的传统静态和动态安全扫描器。我们的研究结果表明,虽然 LLM 呈现出一些意想不到的结果,但它们也遇到了重大限制,特别是在内存复杂性和新的和不熟悉的数据模式的管理方面。尽管存在这些挑战,但积极应用 LLM,再加上广泛的安全数据库和持续更新,仍有潜力加强软件供应链 (SSC) 流程以抵御新兴威胁。索引术语 — 大型语言模型、软件供应链安全、漏洞
OpenText™加固软件安全中心用户指南
Chapter 3: Preparing for Fortify Software Security Center Deployment 39 High-Level Deployment Tasks 39 Deployment Overview 40 About Integrating Components with Fortify Software Security Center 42 The Fortify Software Security Center Installation Environment 44 Downloading Fortify Software Security Center Files 45 Unpacking and Deploying Fortify Software Security Center Software 46 Deploying Fortify Software Security Center to a Kubernetes Cluster 48 Fortify Software Security Center Kubernetes Deployment 49 Troubleshooting a Fortify Software Security Center Deployment to a Kubernetes Cluster 52 About the directory 55 Default directory locations 55 Changing the default locations 55 Directory contents 56 Migration of keystore file 58 Retrieving the keystore file 58 Migrating the keystore file 58 Applying the migrated keystore file 58 About the Fortify Software Security Center Database 59 About JDBC驱动程序59关于加强软件安全中心数据库数据库集合支持60安装和配置数据库服务器软件60监视磁盘I/O 60数据库用户帐户特权60使用Microsoft SQL Server Database 61 Windows no no no a Mysql Data inate of Mysql Database 62配置“ ORACER”的数据库数据库数据库62更高的数据库62插座”错误65分区oracle数据库以改进性能65关于强化软件安全中心数据库表和架构66关于播种构造强化软件安全中心数据库67永久删除强化软件安全中心数据库68
提高安全关键型软件质量的四大支柱
工程师们依靠保守的最佳实践和将安全考虑融入组织方方面面的文化来开发安全关键型系统。这些实践反映了 ISO 9001/CMMI ® 1、ISO-IEC SC 7 流程标准套件以及特定于安全关键型软件系统认证的标准和实践,例如 DO-178B 和 C、SAE ARP 4754 和 SAE ARP 4761 [RTCA 1992/2011;SAE 2010,1996]。2 飞机机载软件的规模和复杂性呈指数增长(图 2)。在当前的“先构建后测试”实践下,当前一代飞机软件的行业成本已达到难以承受的 80 亿美元 [Redman 2010]。类似地,美国陆军已经认识到,由于软件规模和交互复杂性的增加,通过当前试图实现完整代码覆盖的软件测试实践来确定旋翼机的适航性已经变得越来越不可行 [Boydston 2009]。
提高安全关键型软件质量的四大支柱
工程师们依靠保守的最佳实践和将安全考虑融入组织方方面面的文化来开发安全关键型系统。这些实践反映了 ISO 9001/CMMI ® 1、ISO-IEC SC 7 流程标准套件以及特定于安全关键型软件系统认证的标准和实践,例如 DO-178B 和 C、SAE ARP 4754 和 SAE ARP 4761 [RTCA 1992/2011;SAE 2010, 1996]。2 飞机机载软件的规模和复杂性呈指数增长(图 2)。在当前的“先构建后测试”实践下,当前一代飞机软件的行业成本已达到难以承受的 80 亿美元 [Redman 2010]。同样,美国陆军已经认识到,由于软件规模和交互复杂性的增加,在当前试图实现全代码覆盖的软件测试实践中,对旋翼机适航性的评估已变得越来越不可行 [Boydston 2009]。
安全关键软件:状态报告和带注释的参考书目
本报告并非旨在作为任何特定技术的教程,尽管重点介绍了一些技术并进行了简要讨论。感兴趣的读者应查阅适当的文献,以获取有关使用本文所述技术的更多详细信息。最近,形式化方法在安全关键软件开发中的应用非常活跃,我们将在本报告后面概述形式化方法的类别及其使用方法。我们不专注于特定方法,因为应选择一种方法来匹配正在构建的系统。相反,我们讨论开发人员可以选择一种类型的方法而不是另一种类型的方法的选项。
软件验证的一般原则;行业和 FDA 工作人员的最终指南
SECTION 2.SCOPE 第 2 部分 范围 This guidance describes how certain provisions of the medical device Quality System regulation apply to software and the agency’s current approach to evaluating a software validation system.For example, this document lists elements that are acceptable to the FDA for the validation of software; however, it does not list all of the activities and tasks that must, in all instances, be used to comply with the law.本指导描述了医疗器械质量系统法规的某些条款如何应用到软件,以及 FDA 评价一个软件验证系统的 现行方法。例如,本文列出了 FDA 对于软件验证的可接受元素;但是,并未列出在一切情况下必须遵 循法律的所有活动和任务。 The scope of this guidance is somewhat broader than the scope of validation in the strictest definition of that term.Planning, verification, testing, traceability, configuration management, and many other aspects of good software engineering discussed in this guidance are important activities that together help to support a final conclusion that software is validated.严格上讲,本指导的应用范围比验证的范围更广泛一些。计划、确认、测试、追溯性、配置管理及本 指导中讨论的良好软件工程的许多其他方面是重要的活动,它们有助于支持一个最终结论 - 软件是已验 证过的。 This guidance recommends an integration of software life cycle management and risk management activities.Based on the intended use and the safety risk associated with the software to be developed, the software developer should determine the specific approach, the combination of techniques to be used, and the level of effort to be applied.While this guidance does not recommend any specific life cycle model or any specific technique or method, it does recommend that software validation and verification activities be conducted throughout the entire software life cycle.本指导建议将软件生命周期管理和风险管理活动进行整合。根据预期用途和与开发的软件相关联的安 全风险,软件开发人员应确定特定方法,使用的多个技术的组合,以及应用尝试程度。虽然本指导未 推荐任何特定生命周期模式,或任何特定技术或方法,但建议整个软件生命周期需进行软件验证和确 认活动。 Where the software is developed by someone other than the device manufacturer (e.g., off-the-shelf software) the software developer may not be directly responsible for compliance with FDA regulations.若软件由某人而非器械生产商开发,如成品组件软件,这个软件开发者可能不直接负责 FDA 法规的符 合性。 In that case, the party with regulatory responsibility (i.e., the device manufacturer) needs to assess the adequacy of the off-the-shelf software developer’s activities and determine what additional efforts are needed to establish that the software is validated for the device manufacturer’s intended use.
一项关于使用大语言模型分析软件供应链安全失败
随着我们越来越依赖软件系统,软件供应链中漏洞的后果变得更加严重。高档的网络攻击(例如Solarwinds和ShadowHammer)导致了大量的财务和数据丢失,这强调了对更强的网络安全的需求。防止将来违规的一种方法是研究过去的失败。但是,分析过去失败的传统方法需要手动阅读并汇总有关它们的报告。自动支持可以降低成本并允许更多失败的分析。自然语言处理(NLP)技术,例如大语言模型(LLM),可以利用以帮助分析失败。在这项研究中,我们评估了大语言模型(LLM)分析历史软件供应链漏洞的能力。我们使用LLM来复制由云本机计算基金会(CNCF)成员执行的69个软件供应链安全失败的手动分析。我们开发了LLMS通过四个维度进行分类的提示:折衷,意图,na的类型和影响。GPT 3.5的分类平均准确性为68%,而Bard的准确度比这些维度的精度为58%。我们报告说,LLM有效地表征了软件供应链失败时,当源文章足够详细以在手动分析师之间达成共识,但无法替代人类分析师。未来的工作可以在这种情况下提高LLM的性能,并研究更广泛的文章和失败。