XiaoMi-AI文件搜索系统
World File Search System增强软件
增强软件供应链弹性
美国克拉克斯维尔奥斯汀·皮伊州立大学计算机科学系。abtract本文深入研究了战略方法和预防措施,以保护软件供应链免受不断发展的威胁。它旨在促进对软件供应链弹性固有的挑战和脆弱性的理解,并促进基于当代社会的数字基础设施的透明度和信任。通过检查软件供应链弹性的概念并评估供应链安全的当前状态,本文为讨论可以减轻安全风险并确保整个开发生命周期的安全连续性的策略和实践提供了基础。通过这项全面的分析,本文为加强软件供应链的安全姿势做出了努力,从而确保了连接世界中数字系统的可靠和安全操作。k eywords软件供应链,安全风险,供应链弹性,开源库,第三方组件,SDLC,安全威胁,数据保护,预防恶意软件。1。在以数字化转型为主导的时代,软件供应链对于创建和实施运行网络世界的程序至关重要(Nissen和Sengupta,2016年)至关重要。虽然代码,配置,库,插件,开源和专有二进制文件以及容器依赖项组成软件供应链(Tucci等,2005),Andreoli等。(2023)观察到,这种连通性使软件供应链开放到广泛的安全威胁,从故意攻击到无意的弱点。因此,脆弱的软件供应链攻击可以导致后门访问,恶意软件安装,应用停机时间和数据泄漏,例如密码或私人信息(Ohm等,2020)。因此,增加软件供应链的弹性至关重要,因为公司越来越依赖开源库,第三方组件和协作开发方法(Linton,Boyston和Aje,2014年)。因此,本文探讨了保护软件供应链免受威胁所需的战略思想和预防措施。因此,本文包括了解软件供应链弹性的挑战和脆弱性,并有助于建立对为现代社会提供动力的数字基础设施的开放性和信心。首先,将探讨软件供应链弹性概念和当前软件供应链安全的状态。在这种背景下,减轻安全风险并确保开发生命周期中的连续性的策略和实践。
M-23-16-更新至M-22-18-增强软件安全性。......
行政命令 (EO) 14028,《改善国家网络安全》(2021 年 5 月 12 日),1 侧重于软件供应链的安全性和完整性,并强调了安全软件开发环境的重要性。该行政命令指示各机构采取各种行动“增强软件供应链的安全性”。根据该行政命令,美国国家标准与技术研究所 (NIST) 发布了 NIST 安全软件开发框架 (SSDF)、SP 800 218 和 NIST 软件供应链安全指南(以下统称为“NIST 指南”)。2 OMB 备忘录 M-22-18,《通过安全软件开发实践增强软件供应链的安全性》(M-22-18)(2022 年 9 月 14 日),要求各机构遵守该 NIST 指南。根据 M-22-18,机构只能使用能够证明遵守政府指定的最低安全软件开发实践的软件生产商提供的软件。
英特尔的AI增强软件定义的车辆
由Intel的第一代AI增强的SDV System-on-Chip和NewIntel®ARC™图形用于汽车,该示范突显了车辆内体验的革命性飞跃。不仅仅是技术进步,还可以瞥见汽车体验的未来。英特尔的AI增强SDV平台收敛高性能计算,AI和汽车工程,提供了经验,曾经被视为科幻小说。建立在开放式平台和生态系统上,该平台提供了汽车制造商的选择和灵活性,以利用庞大的AI PC软件生态系统。
会议记录 - NIST 计算机安全资源中心
o 指示商务部长通过 NIST 与联邦机构、私营部门、学术界和其他利益相关者协商,并确定或制定标准、工具、最佳实践和其他指南,以增强软件供应链安全性。 o 其他机构将使用由此产生的标准和指南来管理联邦政府的软件采购。 o 指示 NIST 启动两项与物联网和安全软件开发实践相关的标签计划。 o 举办关于增强软件供应链安全性的研讨会:2021 年 6 月 o 发布初步指导和指南以增强软件供应链安全性:2021 年 6 月至 7 月 o 发布 SP 800-218《NIST 安全软件开发框架》的修订草案 o 发布了 800-161《网络安全供应链风险管理》的修订草案 o 有望完成所有任务。
会议记录 - NIST 计算机安全资源中心
o 指示商务部长通过 NIST 与联邦机构、私营部门、学术界和其他利益相关者协商,并确定或制定标准、工具、最佳实践和其他指南,以增强软件供应链安全性。 o 其他机构将使用由此产生的标准和指南来管理联邦政府的软件采购。 o 指示 NIST 启动两项与物联网和安全软件开发实践相关的标签计划。 o 举办关于增强软件供应链安全性的研讨会:2021 年 6 月 o 发布初步指导和指南以增强软件供应链安全性:2021 年 6 月至 7 月 o 发布 SP 800-218《NIST 安全软件开发框架》的修订草案 o 发布了 800-161《网络安全供应链风险管理》的修订草案 o 有望完成所有任务。
2022 年 9 月 14 日 M-22-18 备忘录...
关注软件供应链的安全性和完整性,并强调安全软件开发环境的重要性。EO 指示美国国家标准与技术研究所 (NIST) 发布指导“确定增强软件供应链安全性的实践”。 2 NIST 安全软件开发框架 (SSDF),SP 800- 218,3 和 NIST 软件供应链安全指南 4(这两份文件合在一起,以下称为“NIST 指南”)包括一套为开发安全软件奠定基础的实践。EO 进一步指示管理和预算办公室 (OMB) 要求各机构遵守此类指南。本备忘录要求各机构遵守 NIST 指南及其后续更新。
政府中值得信赖的软件供应链
Red Hat® 可信软件供应链 (TSSC) 是一系列功能,可在整个 SDLC 中构建安全护栏,帮助政府软件团队遵守 EO 14028(图 1)。作为 TSSC 的一部分,Red Hat 可信应用程序管道是一组 3 个模块化工具:Red Hat 开发人员中心、Red Trusted Artifact Signer 和 Red Hat Trusted Profile Analyzer。政府软件团队可以使用这些工具来提高软件工件供应链级别 (SLSA) 的成熟度级别,这是一个逐步增强软件供应链安全性的框架。SLSA 提供了一系列标准和控制措施,以防止篡改、提高完整性并使软件
S3C2 Summit 2022-09:行业安全供应链峰会
近年来已经表明,网络攻击的增加,针对软件供应链中安全性较低的元素,并导致企业和组织致命的大坝。过去众所周知的软件供应链攻击示例是影响数千个客户和企业的Solarwinds或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。我们与来自行业的19名从业者进行了六次小组讨论。我们向他们询问了有关SBOM,弱势依赖,恶意提交,建造和部署,行政命令和规定遵守的开放性问题。这次峰会的目的是实现开放讨论,相互共享并阐明这些共同的挑战,而在确保其软件供应链的实践经验的行业从业人员中,该行业从业人员会面对。本文总结了2022年9月30日举行的峰会。可以在每个部分的开头和附录中找到完整的面板问题。
编码前建立出处
早期所有现代软件都依赖于其他软件组件 [1]。如图 1 所示,这些组件包括库、操作系统、构建工具和部署工具。作为规划过程的一部分,软件工程师决定使用哪些组件来构建他们的软件。这些依赖关系(以及它们所依赖的组件)创建了一个软件供应链,其中软件组件与其用户之间存在隐含的信任关系。当软件工程师决定在其软件中使用哪些组件时,他们也在决定要信任哪些组件。许多最近的网络安全攻击都利用了这些信任关系,针对软件组件和供应链 [1]。为此,许多研究人员提出了增强软件供应链安全性的建议。Okafor 等人的文献综述将这些建议总结为解决三个不同的属性:分离性以确保隔离一个组件中的故障、透明度以查看整个供应链以及有效性以表明组件没有被意外更改(完整性)[2]。综合起来,后两个属性可以描述单个软件组件和由此产生的供应链的出处。本文重点介绍一种用于软件组件出处的专门技术:软件签名。使用公钥加密的软件签名是确保工件来源的事实上的方法。