安全資訊

日前，在日本東京舉行的OpenSSF Day主題研討活動(dòng)上，Linux基金會(huì )旗下的非營(yíng)利組織OpenSSF提出了旨在幫助企業(yè)組織開(kāi)發(fā)更安全軟件應用系統的十項指導原則。原則概述了軟件系統的開(kāi)發(fā)企業(yè)和服務(wù)商在開(kāi)發(fā)過(guò)程中應該努力遵循的核心安全性最佳實(shí)踐，并且強調了要在整個(gè)軟件生命周期中采取積極主動(dòng)的安全方法。

OpenSSF開(kāi)源供應鏈安全主管David A. Wheeler表示，提出這些原則的初衷是希望企業(yè)組織能夠采用這些方法開(kāi)發(fā)出具有原生化安全能力的應用軟件系統，實(shí)現安全能力左移。這些原則涵蓋了一系列已被實(shí)踐驗證的安全保障措施，從安全功能融入設計到實(shí)現應用軟件可觀(guān)察性等不一而足。

具體原則內容包括：

1.在軟件開(kāi)發(fā)過(guò)程中采用符合行業(yè)規范，并已被廣泛應用的現代安全開(kāi)發(fā)方法；

2.要求軟件開(kāi)發(fā)人員學(xué)習和運用安全軟件設計原則，比如最小權限原則等；

3.要讓開(kāi)發(fā)團隊了解最常見(jiàn)的漏洞類(lèi)型，同時(shí)采取措施，在軟件開(kāi)發(fā)過(guò)程中阻止漏洞的引入或限制其影響；

4.在軟件系統正式發(fā)布前進(jìn)行充分的安全性檢查，發(fā)現并解決其中可能存在各類(lèi)型漏洞，并在產(chǎn)品正式發(fā)布后實(shí)施持續性的漏洞監測措施；

5.要加強對軟件開(kāi)發(fā)基礎設施的保護，防止其受到惡意攻擊或滲透，確保在此基礎上開(kāi)展的各項軟件研發(fā)活動(dòng)安全合規；

6.企業(yè)應該優(yōu)先考慮和能夠遵守安全指導原則的軟件開(kāi)發(fā)商合作，并通過(guò)公開(kāi)披露的安全指標數據及時(shí)評估軟件供應商的風(fēng)險態(tài)勢。一旦發(fā)現惡意軟件的跡象應該立即采取響應措施；

7.要讓軟件系統的使用者能夠了解軟件供應鏈狀態(tài)，并讓其中的安全防護措施與不斷發(fā)展的行業(yè)監管標準保持一致；

8.企業(yè)應該制定負責人的漏洞管理和披露計劃，這類(lèi)計劃應該包括對第三方代碼引用的依賴(lài)項，并附有報告和補救漏洞的響應策略；

9.企業(yè)應定期發(fā)布與行業(yè)最佳實(shí)踐相一致的安全性公告；

10.企業(yè)應該積極地與行業(yè)監管組織合作，并通過(guò)參與其活動(dòng)，加強與業(yè)界同仁的經(jīng)驗交流。

Wheeler指出，對于希望實(shí)施這些安全指導原則的組織來(lái)說(shuō)，可能會(huì )存在各種類(lèi)型的困難。其中最大的挑戰是開(kāi)發(fā)文化。因為開(kāi)發(fā)軟件通常是為了實(shí)現某些特定的應用功能，而安全性往往不被考慮。因此，OpenSSF并不希望通過(guò)強制要求的方式去讓每一家軟件開(kāi)發(fā)企業(yè)都去遵守這些原則，而是需要通過(guò)多種方式讓企業(yè)真正理解、認同并參考應用。OpenSSF將會(huì )為希望實(shí)現這些原則的組織提供培訓、工具和指導，從而推動(dòng)這些原則的落地。

文章來(lái)源：安全牛