美国于2021年5月12日发布了《关于改善国家网络安全》的第14028号行政命令(eo),明确要求美国联邦政府加强软件供应链安全管控。
eo-14028要求:“第4(r)条,在本命令发布之日起60天内,商务部代理部长(通过nist局长)与国防部长(通过nsa局长)协商,应发布准则,对供应商测试其软件源代码给出最低的标准建议,包括确定建议的手动或自动测试类型(如:代码审计工具、静态和动态分析、软件组份工具和渗透测试)。”
美国《关于改善国家网络安全》的第14028号行政命令(eo)任务及时间线
《开发人员软件验证的最低标准指南》翻译
2021年7月7日,nist发布了《guidelineson minimum standards for developer verification of software(开发人员软件验证的最低标准指南)》。该指南扩展了nist的安全软件开发框架(ssdf)实践,其目标是确保“关键软件”足够安全和可靠,要求供应商根据最佳实践设计、构建、交付和维护软件。其核心理念是:验证是用于提高软件安全性的一门学科,开发人员在软件开发生命周期(sdlc)中应尽早开展频繁和彻底的测试。指南描述了验证所包含的静态和主动保证技术、工具和相关过程外,还明确指出验证需要对方法进行持续的改进和过程支撑,且必须与其他方法一起使用以避免单一工具及方法的局限性。除了最低标准外,该指南还为软件供应商推荐了高级指南,以帮助它们改进自身的流程规范。
《开发人员软件验证的最低标准指南》详细的验证过程示意图
指南的主要内容如下:
详细内容请参见翻译文档。天融信将持续关注软件供应链安全及其应用过程的前沿进展,后续将为您带来更多精彩内容。
扫描二维码,阅读完整版译文
翻译为公益性质,仅供信息安全产业相关研究人员、管理人员参考,如有错漏敬请指正。
- 关键词标签:
- 融信译站 网络安全 关键软件