网络安全形势发展迅速,尤其是在拜登总统于 5 月发布网络安全行政命令 (EO 14028) 之后,该命令使保护软件供应链成为人们关注的焦点。对保护软件供应链的日益关注促使企业寻求符合相关要求的策略,例如软件供应链风险管理 (SSCRM) 和软件物料清单 (SBOM)。为了帮助组织理解 SSCRM 并采用有效的实践,我们确定了成功的软件供应链战略的 12 个基本要素。这些要素考虑了从创建到最终用户操作的整个软件生命周期,并突出了各利益相关者在维护供应链安全方面的贡献。请注意,这些元素的顺序不是分层的,而是按它们的相互关系分组的。
第 1 组:资产清单、SBOM 和出处
第一组元素涉及资产库存、SBOM 和软件来源。 IT 和运营团队负责维护软件资产及其相关依赖项的准确清单,这对于及时修补和事件响应至关重要。详细说明每个软件依赖关系的最新且完整的 SBOM 对于安全事件期间的影响分析至关重要,例如漏洞披露。
第 2 组:保护开发环境和完整性证明
第二组要素包括保护开发环境、证明已发布软件的完整性以及了解软件产品中可能存在的质量或安全问题。应用程序开发团队及其对 DevSecOps 或安全软件开发生命周期 (SDLC) 流程的遵守主要推动了这些责任。保护开发环境对于保证任何生成的工件的完整性和功能性至关重要。
第 3 组:法规和许可合规性、意外功能
第三组要素涵盖监管和许可不合规,以及软件产品中包含的意外功能。采购和最终用户下载或使用软件都应该继续关注这些问题。不合规需要特别注意,因为不合规的单个属性会导致严重后果。
第 4 组:治理政策和报告
最后两个元素与治理策略定义和报告有关。通过对软件供应链实施有效的业务控制和风险管理,组织可以降低其他要素的潜在风险。使用环境和风险边界也应考虑到供应商、服务和图书馆的批准过程。实施符合这 12 个要素的软件供应链风险管理流程可以帮助企业领先于新出现的威胁和法规要求。 SSCRM 不仅限于生成或请求 SBOM,还包含软件生命周期中利益相关者的一整套职责和实践。
借助AppMaster ,SMB 和企业将受益于一种更易于访问且更高效的方法来构建安全的后端、Web 和移动应用程序。 AppMaster 的no-code平台最大限度地减少了技术债务,能够快速响应不断变化的需求,同时保持稳健的安全标准。通过将合适的 SSCRM 的 12 个元素集成到企业的应用程序开发工作流程中,利益相关者可以为整体安全软件供应链做出贡献。
