CSCC：2022年软件供应链安全之开发者最佳实践指南（66页）.pdf

1、 持久安全框架 软件供应链工作小组 2022 年 8 月 确保软件供应链的安全：开发人员的最佳实践 2 译者简介：译者简介：开源安全研究院(gitsec.cloud)目前是独立运营的第三方研究机构，和各工具厂商属于平等合作关系，专注于软件安全相关技术及政策的研究，围绕行业发展的焦点问题以及前沿性的研究课题，结合国家及社会的实际需求以开放、合作共享的方式开展创新型和实践性的技术研究及分享。欢迎关注我们的公众号。免责声明：免责声明：本指南版权归作者所有，本文翻译工作为公益性质的学习目的，不用于商业用途不用于商业用途，翻译本身基于水平与目标不同，并不能与专业翻译水平相提并论，如有错漏，欢迎广大读者联

2、系客服小李进行补充和探讨。此外我们也有软件安全爱好者的相关社群，也可扫码添加客服小李微信拉进群哦 确保软件供应链的安全：开发人员的最佳实践 iii 执行摘要执行摘要 网络攻击是通过网络空间进行的，其目标是企业使用的网络空间，目的是破坏、禁用、恶意 控制计算环境或基础设施；破坏数据的完整性；窃取受控信息。1 最近的网络攻击，比如针对 SolarWinds 及其客户的攻击，以及利用 Log4j 等漏洞，突出了软件供应链的弱点，这个问题，涵盖了商业和开源软件，影响了私人和政府企业。因此，越来越需要提高软件供应链的安全意识，需要认识到国家对手使用类似的战术、技术和程序(TTPs)将软件供应链武器化的可

3、能性。作为回应，白宫发布了一项关于改善国家网络安全的行政命令(EO14028)。EO 14028 建立了新的 要求来确保联邦政府的软件供应链。这些要求除了为联邦政府购买软件的客户外，还涉及对软件 供应商和开发人员的系统审查、流程改进和安全标准。同样的，持久安全框架2(ESF)软件供应链工作小组建立了此指导方针，以作为开发人员、供应商和客户利益相关者的建议实践的概要，以确保一个更安全的软件供应链。本系列分为三部分：第一部分关注软件开发人员；第二部分关注软件供应商；第三部分关注软件客户，本指南为第一部分。客户（购买方）可以将此指南作为描述、评估和度量与软件生命周期相关的安全实践的基础。此外，本文列

4、出的建议实践可以应用于软件供应链的收购、部署和操作阶段。软件供应商（供应商）负责建立客户和软件开发人员之间的联系。因此，供应商的职责包括通 过合同协议、软件发布和更新、通知和减少漏洞来确保软件的完整性和安全性。本指南包含推荐的最佳做法和标准，以帮助供应商完成这些任务。本文件将提供符合行业最佳实践和原则的指导，我们强烈建议软件开发人员参考。这些原则包括安全需求规划、从安全的角度设计软件体系结构、添加安全特性，以及维护软件和底层基础设施的安全性（例如，环境、源代码审查、测试）。1 国家安全系统委员会(CNSS)2 ESF 是一个跨部门的工作组，在关键基础设施伙伴关系咨询委员会(Critical I

5、nfrastructure Partnership Advisory Council CIPAC)的支持下运作，以应对美国国家安全系统的安全和稳定所面临的威胁和风险。它由来自美国政府的专家以及信息技术、通信和国防工业基地部门的代表组成。ESF 负责将来自私营部门和公共部门的代表聚集在一起，致力于应对情报驱动的网络安全挑战。确保软件供应链的安全：开发人员的最佳实践 4 免责声明免责声明 免责声明背书免责声明背书 本文件仅供一般参考之用。它适用于各种事实情况和行业利益相关者，本文所提供的信息具有咨询性的性质。本文件中的指导意见由“现状”提供。一旦发布，其中的信息可能不构成最新的指导或技术信息。因此

6、，该文件不构成、也不打算构成合规或法律建议。读者应与各自的顾问和主题专家进行协商，以根据其个人情况获得咨询意见。在任何情况下，美国政府均不对因使用或依赖本指南而产生的任何损害负责。本指南以商号、商标、制造商或其他方式提及任何特定的商业产品、工艺或服务，并不构成或暗 示其对美国政府的背书、推荐或支持，本指南不得用于广告或产品背书目的。所有商标均为其各 自所有者的财产。目的目的 美国国家安全局、ODNI 和 CISA 开发该文件是为了促进其各自的网络安全任务，包括其制定和发布网络安全建议和缓解措施的责任。这些信息可以被广泛地共享，以达到所有适当的利益相关者。联系方式联系方式 客户要求客户要求/查询