Linux基金會提出軟件安全開發十項指導原則
責編:gltian |2023-12-06 14:41:36日前,在日本東京舉行的OpenSSF Day主題研討活動上,Linux基金會旗下的非營利組織OpenSSF提出了旨在幫助企業組織開發更安全軟件應用系統的十項指導原則。原則概述了軟件系統的開發企業和服務商在開發過程中應該努力遵循的核心安全性最佳實踐,并且強調了要在整個軟件生命周期中采取積極主動的安全方法。
OpenSSF開源供應鏈安全主管David A. Wheeler表示,提出這些原則的初衷是希望企業組織能夠采用這些方法開發出具有原生化安全能力的應用軟件系統,實現安全能力左移。這些原則涵蓋了一系列已被實踐驗證的安全保障措施,從安全功能融入設計到實現應用軟件可觀察性等不一而足。
具體原則內容包括:
- 在軟件開發過程中采用符合行業規范,并已被廣泛應用的現代安全開發方法;
- 要求軟件開發人員學習和運用安全軟件設計原則,比如最小權限原則等;
- 要讓開發團隊了解最常見的漏洞類型,同時采取措施,在軟件開發過程中阻止漏洞的引入或限制其影響;
- 在軟件系統正式發布前進行充分的安全性檢查,發現并解決其中可能存在各類型漏洞,并在產品正式發布后實施持續性的漏洞監測措施;
- 要加強對軟件開發基礎設施的保護,防止其受到惡意攻擊或滲透,確保在此基礎上開展的各項軟件研發活動安全合規;
- 企業應該優先考慮和能夠遵守安全指導原則的軟件開發商合作,并通過公開披露的安全指標數據及時評估軟件供應商的風險態勢。一旦發現惡意軟件的跡象應該立即采取響應措施;
- 要讓軟件系統的使用者能夠了解軟件供應鏈狀態,并讓其中的安全防護措施與不斷發展的行業監管標準保持一致;
- 企業應該制定負責人的漏洞管理和披露計劃,這類計劃應該包括對第三方代碼引用的依賴項,并附有報告和補救漏洞的響應策略;
- 企業應定期發布與行業最佳實踐相一致的安全性公告;
- 企業應該積極地與行業監管組織合作,并通過參與其活動,加強與業界同仁的經驗交流。
Wheeler指出,對于希望實施這些安全指導原則的組織來說,可能會存在各種類型的困難。其中最大的挑戰是開發文化。因為開發軟件通常是為了實現某些特定的應用功能,而安全性往往不被考慮。因此,OpenSSF并不希望通過強制要求的方式去讓每一家軟件開發企業都去遵守這些原則,而是需要通過多種方式讓企業真正理解、認同并參考應用。OpenSSF將會為希望實現這些原則的組織提供培訓、工具和指導,從而推動這些原則的落地。
參考鏈接:
來源:安全牛