數(shù)字時(shí)代，關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行關(guān)系國家安全、國計(jì)民生和公共利益，軟件供應(yīng)鏈安全是關(guān)鍵信息基礎(chǔ)設(shè)施要面對的重點(diǎn)安全問題之一。近日，美國國家安全局(NSA)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和國家情報(bào)總監(jiān)辦公室(ODNI)聯(lián)合發(fā)布了《面向開發(fā)人員的軟件供應(yīng)鏈安全指南》（Securing the Software Supply Chain for Developers），該指南內(nèi)容可以為國內(nèi)網(wǎng)絡(luò)安全從業(yè)人員及關(guān)注者提供參考。

本次發(fā)布的版本面向開發(fā)人員，后續(xù)還將發(fā)布面向供應(yīng)商和客戶的版本。該指南根據(jù)行業(yè)最佳實(shí)踐和原則提供指導(dǎo)，原則包括安全需求規(guī)劃、從安全角度設(shè)計(jì)軟件架構(gòu)、添加安全功能以及維護(hù)軟件和底層基礎(chǔ)設(shè)施的安全。

指南概述 / 開發(fā)過程 融入安全

《面向開發(fā)人員的軟件供應(yīng)鏈安全指南》主要提供了開發(fā)者可用于為軟件開發(fā)生命周期提供安全保障的相關(guān)原則及建議，強(qiáng)調(diào)安全軟件開發(fā)生命周期是用于確保軟件供應(yīng)鏈安全的重要過程。該指南從安全產(chǎn)品標(biāo)準(zhǔn)和管理、安全代碼開發(fā)、驗(yàn)證第三方組件、開發(fā)環(huán)境加固和代碼交付等方面，給出了相應(yīng)的威脅場景和建議的緩解措施。

軟件供應(yīng)鏈中的角色與安全活動(dòng)

安全產(chǎn)品標(biāo)準(zhǔn)和管理方面，給出了開發(fā)團(tuán)隊(duì)和產(chǎn)品管理團(tuán)隊(duì)的人員構(gòu)成建議。

安全代碼開發(fā)方面，被細(xì)分為內(nèi)部人員修改或利用源代碼、開源管理實(shí)踐、安全開發(fā)實(shí)踐、代碼集成、客戶報(bào)告的缺陷/漏洞問題和外部開發(fā)擴(kuò)展等六個(gè)部分。

驗(yàn)證第三方組件方面，被細(xì)分為第三方二進(jìn)制文件、選擇和整合、從已知和可信的供應(yīng)商處獲取組件、組件維護(hù)和軟件物料清單等五個(gè)部分。

開發(fā)環(huán)境加固方面，被細(xì)分為建立漏洞利用鏈和被攻擊的簽名服務(wù)器兩部分。

代碼交付方面，被細(xì)分為最終軟件包驗(yàn)證、危及軟件包和更新的潛在戰(zhàn)術(shù)和交付系統(tǒng)破壞三個(gè)部分。

安全軟件開發(fā)過程與生命周期

在供應(yīng)鏈安全方面，天融信始終堅(jiān)持自主創(chuàng)新，打造了完整的國產(chǎn)化網(wǎng)絡(luò)安全產(chǎn)品技術(shù)體系；基于“永不信任，始終驗(yàn)證”的零信任設(shè)計(jì)理念，已形成了SDP、IAM、MSG三大技術(shù)路線，將DevSecOps安全開發(fā)與零信任相結(jié)合；積極實(shí)踐ATT&CK框架，在產(chǎn)品的設(shè)計(jì)開發(fā)過程中以攻促防，不斷打磨自身產(chǎn)品與服務(wù)；將多年在漏洞挖掘、分析、排查、修復(fù)等方面積累的實(shí)戰(zhàn)經(jīng)驗(yàn)，轉(zhuǎn)化為軟件測試交付運(yùn)營過程中所需的安全服務(wù)能力，同時(shí)，依托自有的安全漏洞響應(yīng)中心不斷提升產(chǎn)品及業(yè)務(wù)的安全性。

作為中國信通院軟件供應(yīng)鏈安全實(shí)驗(yàn)室首批成員單位，同時(shí)也是中國信通院零信任實(shí)驗(yàn)室副理事長單位，天融信憑借過硬的技術(shù)實(shí)力已連續(xù)九年獲評國家信息安全漏洞庫CNNVD一級技術(shù)支撐單位稱號，連續(xù)四年榮獲CNNVD年度優(yōu)秀技術(shù)支撐單位稱號。

TOPSEC

自主創(chuàng)新是天融信的基因，開放融合是天融信的理念。未來，天融信將不斷加強(qiáng)在網(wǎng)絡(luò)安全領(lǐng)域的研究與實(shí)踐，進(jìn)一步完善供應(yīng)鏈安全的保障工作，筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全新防線，賦能網(wǎng)空新未來。