美澳联合发布软件安全部署指南
2024-10-30 02:15:0 Author: mp.weixin.qq.com(查看原文) 阅读量:15 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

美国和澳大利亚政府机构强调称,软件制造商应当执行软件安全部署计划,支持和增强产品和部署环境的安全性和质量。

美国网络安全机构CISA、FBI和澳大利亚网络安全中心 (ACSC) 为了帮助软件制造商确保产品的可靠性和安全性,设立了软件安全部署流程,同时旨在将高效部署作为软件开发生命周期 (SDLC) 的一部分。

这些机构提到,“安全部署流程并非始于第一次推送代码,而是更早时候。为了确保产品的安全性和可靠性,技术领先者应当确保所有的代码和配置变更均已通过一系列受强大测试策略支持的定义明确的阶段。”

这份指南报告名为《软件安全部署:软件制造商如何为客户确保可靠性》,是CISA 设计安全策略的一部分,适用于软件或服务制造商和云服务。有助于通过软件安全部署流程交付高质量软件的机制包括强大的质量保证流程,问题的及时检测,定义明确的部署策略如分阶段上线、全面测试策略、持续改进的反馈循环、协作、短期开发周期以及安全开发生态系统。

这份指南提到,“强烈建议实施的软件安全部署实践包括规划阶段的严格测试、受控的部署以及持续反馈。软件厂商可按照这些关键阶段增强产品质量、降低部署风险并提供更好的客户体验。”

指南建议软件厂商在规划阶段明确目标、客户需求、潜在风险、成本和成功标准,以及在开发和测试阶段关注编程和可持续测试。它还提到,软件厂商应当使用软件安全部署流程手册,了解适用于每个阶段的指南、最佳实践和应急规划,如详细的部署中和部署后的应急响应阶段。另外,软件厂商应当设立关于发生严重问题时通知客户和合作伙伴的规划,并应当提供关于问题、影响和解决时间的明确信息。

指南还提醒称,如客户选择老旧软件或配置版本以规避新更新中引入的风险,则可能暴露到其它风险中,尤其是更新中包括了漏洞补丁和其它安全增强措施。指南提到,“软件制造商应当关注于提升部署实践并向客户展示可靠性。软件厂商领导者不应当拖慢部署流程,而是优先考虑增强部署流程以同时保证安全性和稳定性。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2024中国软件供应链安全分析报告》全文

CISA:不安全软件的生产者就是恶棍的帮凶

奇安信代码安全实验室研究员入选“2024 MSRC 全球最具价值安全研究者”榜单

黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike

原文链接

https://www.securityweek.com/us-australia-release-new-security-guide-for-software-makers/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247521319&idx=2&sn=1eb63713131d25d733745ed64faf456e&chksm=ea94a54ddde32c5b7528473b75d9dff1540f098a2f7ff726676425e31f6af73ebcb485d46985&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh