近期,《网络安全技术 软件供应链安全需求》(GB/T 43698-2024)国家标准正式发布,并将于2024年11月1日正式实施。该国家标准的发布为加强企业开展软件供应链危害管理,促进制品和服务的安全性和靠谱性供给了有力支撑,亦将推动第三方公司检测评定能力的提高与发展,对软件供应链行业安全发展拥有重要道理。
《安全需求》确定软件供应链安全目的
该标准确立了软件供应链安全目的,规定了软件供应链安全危害管理需求和供需双方的组织管理和供应活动管理安全需求。适用于指点软件供应链中的供需双方开展危害管理、组织管理和供应活动管理,可为第三方公司开展软件供应链安全检测和评定供给依据,亦可为主管监管分部供给参考。
软件供应链安全治理压力大
软件供应链是一个全世界分布的、拥有供应商多样性、制品服务繁杂性、全流程覆盖等许多特点的繁杂系统。随着合规压力的日益增大、安全事件的频繁出现,使得软件供应链安全问题日益凸显。面对这一严峻形势,加强软件供应链安全治理已作为当务之急。
1.合规需求提高
近年来,国家层面高度注重供应链安全问题,持续创立健全关联法律法规、标准制度,面临日益严峻的合规性压力。《网络安全法》规定了网络制品和服务供给者的职责,包含严禁的行径、即时采取解救办法、通知报告义务、守护的延续性等;《网络安全法》《网络安全审查办法》和《关键信息基本设备安全守护条例》针对关键信息基本设备的供应链安全提出了需求,包含对可能影响国家安全的设备进行安全审查、网络制品和服务供给者应协同审查并承诺避免危及供应链安全的行径、安全审查时思虑供应链危害方面的原因、优先采购安全可信的网络制品和服务、与供给者签署协议等。
2.安全事件连续高发
近年来软件供应链安全事件层出不穷,例如Log4Shell漏洞和XZ-Utils供应链后门投毒事件,其所制造的害处程度愈加严重。随着开源组件的持续增加,海量的第三方开源组件被放到软件中,引起软件供应链变得越来越繁杂,安全危害亦前所未有地严峻。依据相关数据,Source Check平台对某软件的扫描结果表示,53.8%的该软件项目中包括最少一个高危危害漏洞,增大了软件运用危害。
软件供应链安全管理中存在许多问题
在这种背景下,软件供应链必须构建起一套坚固的安全管理体系,以应对日益增长的合规需求及繁杂的安全威胁。尽管业界已然广泛认识到软件供应链安全的重要性,但治理起来依然面临重重挑战。
1.供应关系繁杂,管理难度大
触及供应商数量众多,且可能存在层层转包的现象,运营者难以理清供应关系,透明度低,软件供应链安全管理难度大。
2.管理制度不完善,安全评定缺失
缺乏可落地的软件供应链安全管理体系,缺少对软件供应链安全管理的有效手段和办法,如软件供应链安全评定、软件供应商安全检测等。
3.注重程度不足,干系人管理不到位
常常更加注重经过技术手段守护软件安全,对为其供给设计、建设、运维、技术服务的供应商和人员的服务过程安全管理不足。
4.开源依赖严重,漏洞危害很强
软件研发海量引入开源和第三方组件,供应商缺少制品安全研发流程、制品安全漏洞快速响应机制、供应链安全危害监测机制等,引起没法即时处置供应链安全危害。
软件供应链安全管控帮忙构建安全基石
针对以上挑战,道普信息第三方危害管控专家提出,经过供应链安全管控来有效应对安全威胁,满足监管需求。
供应链安全管控服务全景图
1.摸状况
摸清监管单位、建设单位、承建单位的供应链安全状况。包括区域监管分部需求、本单位软件供应链关系、供应链安全管理体系、供应链安全技术办法等。
2.做评定
开展供应链安全能力评定,包括设立指标、数据采集、差距分析、危害评定、整改意见等周期,全方位评定服务对象供应链管理能力。
软件供应链管理能力评定方法
3.建制度
帮助服务对象完善软件供应链安全管理体系,从立项、采购、实施、验收、运维等周期创立或完善管理制度、规范等。
4.常监控
常态化开展供应链安全检测及监督工作,可定时开展针对软件层面的攻防演练、软件上线检测、开源软件漏洞检测、人员安全认识培训、供应链专项监督检测等。
随着数字化转型进程的推进,软件供应链安全问题日益明显,作为网络安全行业的一个重要课题。GB/T 43698-2024《网络安全技术 软件供应链安全需求》的发布,无疑为我国网络安全能力的提高注入了强心剂,它不仅是技术规范的升级,更加是安全认识与管理实践的全面革新。道普信息危害管控专家强调,经过开展软件供应链危害管理,一起推动我国软件供应链安全管理水平迈向新的高度,为我国数字经济的健康发展保驾护航。返回外链论坛:www.fok120.com,查看更加多
责任编辑:网友投稿
|