《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(四)

这篇具有很好参考价值的文章主要介绍了《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(四)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(四),安全,网络,web安全安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。本文根据《Secure Software Development Framework (SSDF) Version 1.1:Recommendations for Mitigating the Risk of Software Vulnerabilities》文档翻译整理,本文是第四部分,主要是该框架的安全实践列表以及相应的参考中的保护软件(Protect Software)部分。 

实践1(保护软件) 任务 概念实现参考示例 参考
保护所有形式的代码免受未经授权的访问和篡改(PS.1): 有助于防止对代码的未经授权更改(无论是无意还是有意)。未经授权的访问和篡改可能会导致违背软件预期安全特性的事情发生。对于不打算公开访问的代码,这有助于防止软件被盗,增加攻击者发现软件中漏洞的难度和耗时。 PS.1.1:基于最低权限原则存储所有形式的代码(包括源代码、可执行代码和配置为代码),以便只有授权人员、工具、服务等才能访问。 示例1:将所有源代码和配置代码存储在代码库中,并根据代码的性质限制对它的访问。例如,用于公共访问的开源代码可能需要保护其完整性和可用性;其他代码也可能需要保密保护。 示例2:使用存储库的版本控制功能来跟踪对代码所做的所有更改,并对单个帐户负责。 示例3:对代码库使用提交签名。 示例4:让代码所有者审查和批准其他人对代码所做的所有更改。 示例5:使用代码签名帮助保护可执行文件的完整性。 示例6:使用加密(例如,哈希密码)来帮助保护文件完整性。 不一一展示,需要原文件可私信我获取
实践2(保护软件) 任务 概念实现参考示例 参考
提供验证软件发布完整性的机制(PS.2): 帮助软件购买者确保他们购买的软件是合法的,没有被篡改。 PS.2.1:向软件购买者提供软件完整性验证信息。 示例1:在安全良好的网站上发布发布文件的哈希密码。 示例2:使用成熟证书颁发机构进行代码签名,以便消费者的操作系统或其他工具和服务可以在使用前确认签名的有效性。 示例3:定期检查代码签名过程,包括证书更新、轮换、吊销和保护。 不一一展示,需要原文件可私信我获取
实践3(保护软件) 任务 概念实现参考示例 参考
归档和保护每个软件版本(PS.3): 保留软件版本,以帮助识别、分析和消除发布后软件中发现的漏洞。 PS.3.1:安全地归档每个软件版本所需的文件和支持数据(如完整性验证信息、来源数据)。 示例1:按照组织的既定策略将发布文件、相关图像等存储在存储库中。只允许必要人员对其进行只读访问,其他人不得访问。 示例2:存储Protect Release完整性验证信息和来源数据,例如将其保存在与发布文件分开的位置或对数据进行签名。 不一一展示,需要原文件可私信我获取
PS.3.2:收集、保护、维护和共享每个软件版本的所有组件的来源数据(例如,在软件材料清单[SBOM]中)。 示例1:根据组织的政策,最好使用基于标准的格式,向软件收购方提供来源数据。 示例2:向组织的运营和响应团队提供来源数据,以帮助他们减少软件漏洞。 示例3:保护源数据的完整性,并为接收者提供验证源数据完整性的方法。 示例4:每次更新软件的任何组件时都更新源数据。

以上是安全软件开发框架(SSDF)1.1版本中的软件保护部分的全部内容,后面会继续为大家整理可靠软件生产部分和漏洞响应部分,欢迎大家继续关注。

(谢绝转载,更多内容可查看我的主页)文章来源地址https://www.toymoban.com/news/detail-534588.html

到了这里,关于《安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(四)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 软件外包开发的VUE开发框架

    Vue.js(通常简称为Vue)是一个流行的渐进式JavaScript框架,用于构建用户界面。它的核心库专注于视图层,但也可以结合其他库和工具来构建完整的单页面应用(SPA)。以下分享Vue.js的开发框架和特点,希望对大家有所帮助。北京木奇移动技术有限公司,专业的软件外包开发公

    2024年02月13日
    浏览(66)
  • 间谍软件开发商利用漏洞利用链攻击移动生态系统

    导语:间谍软件开发商结合使用了零日漏洞和已知漏洞。谷歌TAG的研究人员督促厂商和用户应加快给移动设备打补丁的步伐。 间谍软件开发商利用漏洞利用链攻击移动生态系统去年,几家商业间谍软件开发商开发并利用了针对 iOS 和安卓用户的零日漏洞。然而,它们的漏洞利

    2024年02月09日
    浏览(48)
  • C#软件外包开发框架

    C# 是一种由微软开发的多范式编程语言,常用于开发各种类型的应用程序,从桌面应用程序到移动应用程序和Web应用程序。在 C# 开发中,有许多框架和库可供使用,用于简化开发过程、提高效率并实现特定的功能。下面和大家分享一些常见的 C# 开发框架,希望对大家有所帮

    2024年02月12日
    浏览(44)
  • AI数字人软件系统开发框架

    AI数字人(AI Digital Human)开发涉及到多个领域,包括自然语言处理、计算机视觉、声音合成、人机交互等。以下是一些用于开发AI数字人的开发框架和工具,希望对大家有所帮助。北京木奇移动技术有限公司,专业的软件外包开发公司,欢迎交流合作。 1.Unity MARS :Unity MARS是

    2024年02月09日
    浏览(49)
  • 开发安全、软件供应链安全及开源软件安全的概念差异

    开发安全、软件供应链安全和开源软件安全是在软件生命周期中不同阶段涉及到的安全概念,它们有着一些共同点,同时也存在一些显著的差异。以下是它们之间的比较总结: 范围 : 开发安全 :关注于整个软件开发过程中的安全性,包括代码编写、测试、部署等环节。 软

    2024年03月14日
    浏览(93)
  • 软件测试 | 测试开发 | Django+Celery框架自动化定时任务开发

    ** 本章介绍使用DjCelery即Django+Celery框架开发定时任务功能,在Autotestplat平台上实现单一接口自动化测试脚本、业务场景接口自动化测试脚本、App自动化测试脚本、Web自动化测试脚本等任务的定时执行、调度、管理等,从而取代Jenkins上的定时执行脚本和发送邮件等功能。** 自动

    2023年04月08日
    浏览(56)
  • 详解自动驾驶安全软件开发流程

    1 引言 自动驾驶汽车开发越来越重视性能、质量和性价比,自动驾驶口碑成为新技术应用取得市场成功的关键,而口碑的建立依赖于相关软件开发流程、周期、时间和质量。一家汽车企业只有拥有或者其软件开发供应商具有成熟的软件开发团队、软件开发流程、可复用的软件

    2024年02月08日
    浏览(46)
  • 软件开发企业SDL安全培训案例

    随着计算机技术的发展、internet及mobile应用的普遍使用,软件安全像功能、性能、稳定性一样是计算机系统的一个非常重要部分。没有安全的软件,任何美好的功能都是徒劳的,没有安全的软件,公司的机密数据、客户隐私、系统的可靠性都得不到保障.如何有效评估、开发安全、可

    2024年02月11日
    浏览(36)
  • 桌面软件开发框架 Electron、Qt、WPF 和 WinForms 怎么选?

    Electron 是一个基于 Web 技术的跨平台桌面应用程序开发框架。它使用 HTML、CSS 和 JavaScript 来构建应用程序界面,并借助 Chromium 渲染引擎提供强大的页面渲染能力。Electron 的主要特点包括: 跨平台:Electron 可以在 Windows、macOS 和 Linux 等多个主流操作系统上运行,为开发者提供了

    2024年02月12日
    浏览(48)
  • 软件开发中如何安全传输存储用户密码?

    前言 我们开发网站或者APP的时候,首先要解决的问题,就是 「如何安全传输和存储用户的密码」 。一些大公司的用户数据库泄露事件也时有发生,带来非常大的负面影响。因此,如何安全传输存储用户密码,是每位程序员必备的基础。本文将跟大家一起学习,如何安全传输

    2024年04月12日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包