偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

Linux基金會(huì)提出軟件安全開(kāi)發(fā)十項(xiàng)指導(dǎo)原則

安全 應(yīng)用安全
Wheeler指出,對(duì)于希望實(shí)施這些安全指導(dǎo)原則的組織來(lái)說(shuō),可能會(huì)存在各種類(lèi)型的困難。其中最大的挑戰(zhàn)是開(kāi)發(fā)文化。

日前,在日本東京舉行的OpenSSF Day主題研討活動(dòng)上,Linux基金會(huì)旗下的非營(yíng)利組織OpenSSF提出了旨在幫助企業(yè)組織開(kāi)發(fā)更安全軟件應(yīng)用系統(tǒng)的十項(xiàng)指導(dǎo)原則。原則概述了軟件系統(tǒng)的開(kāi)發(fā)企業(yè)和服務(wù)商在開(kāi)發(fā)過(guò)程中應(yīng)該努力遵循的核心安全性最佳實(shí)踐,并且強(qiáng)調(diào)了要在整個(gè)軟件生命周期中采取積極主動(dòng)的安全方法。

OpenSSF開(kāi)源供應(yīng)鏈安全主管David A. Wheeler表示,提出這些原則的初衷是希望企業(yè)組織能夠采用這些方法開(kāi)發(fā)出具有原生化安全能力的應(yīng)用軟件系統(tǒng),實(shí)現(xiàn)安全能力左移。這些原則涵蓋了一系列已被實(shí)踐驗(yàn)證的安全保障措施,從安全功能融入設(shè)計(jì)到實(shí)現(xiàn)應(yīng)用軟件可觀(guān)察性等不一而足。

具體原則內(nèi)容包括:

  1. 在軟件開(kāi)發(fā)過(guò)程中采用符合行業(yè)規(guī)范,并已被廣泛應(yīng)用的現(xiàn)代安全開(kāi)發(fā)方法;
  2. 要求軟件開(kāi)發(fā)人員學(xué)習(xí)和運(yùn)用安全軟件設(shè)計(jì)原則,比如最小權(quán)限原則等;
  3. 要讓開(kāi)發(fā)團(tuán)隊(duì)了解最常見(jiàn)的漏洞類(lèi)型,同時(shí)采取措施,在軟件開(kāi)發(fā)過(guò)程中阻止漏洞的引入或限制其影響;
  4. 在軟件系統(tǒng)正式發(fā)布前進(jìn)行充分的安全性檢查,發(fā)現(xiàn)并解決其中可能存在各類(lèi)型漏洞,并在產(chǎn)品正式發(fā)布后實(shí)施持續(xù)性的漏洞監(jiān)測(cè)措施;
  5. 要加強(qiáng)對(duì)軟件開(kāi)發(fā)基礎(chǔ)設(shè)施的保護(hù),防止其受到惡意攻擊或滲透,確保在此基礎(chǔ)上開(kāi)展的各項(xiàng)軟件研發(fā)活動(dòng)安全合規(guī);
  6. 企業(yè)應(yīng)該優(yōu)先考慮和能夠遵守安全指導(dǎo)原則的軟件開(kāi)發(fā)商合作,并通過(guò)公開(kāi)披露的安全指標(biāo)數(shù)據(jù)及時(shí)評(píng)估軟件供應(yīng)商的風(fēng)險(xiǎn)態(tài)勢(shì)。一旦發(fā)現(xiàn)惡意軟件的跡象應(yīng)該立即采取響應(yīng)措施;
  7. 要讓軟件系統(tǒng)的使用者能夠了解軟件供應(yīng)鏈狀態(tài),并讓其中的安全防護(hù)措施與不斷發(fā)展的行業(yè)監(jiān)管標(biāo)準(zhǔn)保持一致;
  8. 企業(yè)應(yīng)該制定負(fù)責(zé)人的漏洞管理和披露計(jì)劃,這類(lèi)計(jì)劃應(yīng)該包括對(duì)第三方代碼引用的依賴(lài)項(xiàng),并附有報(bào)告和補(bǔ)救漏洞的響應(yīng)策略;
  9. 企業(yè)應(yīng)定期發(fā)布與行業(yè)最佳實(shí)踐相一致的安全性公告;
  10. 企業(yè)應(yīng)該積極地與行業(yè)監(jiān)管組織合作,并通過(guò)參與其活動(dòng),加強(qiáng)與業(yè)界同仁的經(jīng)驗(yàn)交流。

Wheeler指出,對(duì)于希望實(shí)施這些安全指導(dǎo)原則的組織來(lái)說(shuō),可能會(huì)存在各種類(lèi)型的困難。其中最大的挑戰(zhàn)是開(kāi)發(fā)文化。因?yàn)殚_(kāi)發(fā)軟件通常是為了實(shí)現(xiàn)某些特定的應(yīng)用功能,而安全性往往不被考慮。因此,OpenSSF并不希望通過(guò)強(qiáng)制要求的方式去讓每一家軟件開(kāi)發(fā)企業(yè)都去遵守這些原則,而是需要通過(guò)多種方式讓企業(yè)真正理解、認(rèn)同并參考應(yīng)用。OpenSSF將會(huì)為希望實(shí)現(xiàn)這些原則的組織提供培訓(xùn)、工具和指導(dǎo),從而推動(dòng)這些原則的落地。

參考鏈接:

https://www.sdxcentral.com/articles/analysis/openssf-details-top-10-secure-software-development-principles/2023/12/

責(zé)任編輯:武曉燕 來(lái)源: 安全牛
Linux安全開(kāi)發(fā)
相關(guān)推薦

2022-01-26 09:58:02

OWASP漏洞網(wǎng)絡(luò)攻擊

2020-07-03 21:55:41

Linux 系統(tǒng) 數(shù)據(jù)

2009-12-10 15:48:06

Linux基金會(huì)

2009-09-10 09:21:52

Linux基金會(huì)LinuxLinux規(guī)劃

2009-09-21 09:55:55

Linux基金會(huì)Linux未來(lái)規(guī)劃開(kāi)源操作系統(tǒng)

2016-11-18 09:16:53

LinuxGoogle.NET基金會(huì)

2014-11-12 10:22:50

Linux開(kāi)源

2014-11-12 09:49:43

Linux開(kāi)源

2009-09-10 09:56:52

威盛電子Linux基金會(huì)Linux

2011-04-21 10:44:06

Linux基金會(huì)雅虎

2010-09-25 11:43:52

2015-12-09 09:27:37

Linux基金會(huì)Linux開(kāi)源

2010-05-10 15:04:51

Linux基金會(huì)

2011-04-08 10:31:24

Linux微軟

2017-05-09 12:48:38

騰訊云

2010-09-17 17:35:55

2022-09-13 15:03:01

LinuxPyTorch

2012-03-07 10:51:40

jQuery

2020-02-25 10:02:00

Linux開(kāi)源軟件

2010-06-30 09:05:52

Linux基金會(huì)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)