04-软件供应链安全审计心得交流.pdf

1、软件供应链安全审计心得交流演讲人：樊山什么是软件供应链？01软件供应链安全现状02软件供应链安全审计依据03软件供应链安全审计思路04软件供应链安全审计的瓶颈05软件供应链安全治理思考0601什么是软件供应链？什么是软件供应链？软件供应链是指软件产品的生产、销售和交付过程中涉及的所有环节和参与方。这些环节包括软件开发、测试、打包、部署、运维、销售、分销、客户支持等。软件供应链管理旨在优化整个流程，提高效率、降低成本、提高质量，并确保软件产品按时交付给客户。软件供应链的参与方包括软件开发公司、供应商、分销商、零售商、客户和第三方服务提供商等。他们之间的合作和协调对于软件产品的成功交付至关重要。软

2、件供应链管理涉及到供应链规划、供应商管理、库存管理、订单管理、运输和物流管理等方面。通过有效的供应链管理，软件公司可以更好地应对市场需求变化，提高客户满意度，并实现持续的竞争优势。02软件供应链安全现状软件供应链安全现状 第三方依赖：许多软件开发团队依赖于第三方组件和库来加快开发速度和提高效率，但这也增加了软件供应链的复杂性和风险。第三方依赖的安全性和可信度可能存在问题，导致软件供应链受到威胁。开源软件安全性：开源软件在软件供应链中广泛使用，但开源社区的安全审查和漏洞修复可能不及时，这为黑客植入恶意代码提供了机会。供应链合作伙伴安全：软件供应链中的合作伙伴包括软件开发商、供应商、承包商等，他们

3、的安全状况直接影响到整个软件供应链的安全性。如果合作伙伴的安全措施不够严密，就容易成为攻击的目标。不完善的代码签名技术：代码签名问题导致软件在更新过程中被恶意代码注入，更严重者构成APT攻击污染整个软件用户。云服务安全：许多组织将软件部署到云上，但云服务提供商的安全性也成为软件供应链安全的一个重要方面。云服务提供商的漏洞或被攻击，可能会波及到使用其服务的软件开发团队和最终用户。物联网设备安全：随着物联网设备的普及，物联网设备中的软件供应链也面临安全挑战。物联网设备的固件安全、远程管理安全等问题需要得到重视。美国NIST标准下的供应链安全管理（SP 800-161 r1）识别（I）预防（P）检测

4、（D）响应（R）恢复（R）CSF框架分类选择实施评估授权监视风险管理活动NIST 网络安全框架(CSF)1.1 版：FIPS 199，联邦信息和信息系统安全分类标准：NIST SP 800-30，修订版 1，进行风险评估的指南：NIST SP 800-37，修订版 2，信息系统和组织的风险管理框架：安全和隐私的系统生命周期方法：NIST SP 800-39，管理信息安全风险：组织、任务和信息系统视图：NIST SP 800-53 修订版 5，信息系统和组织的安全和隐私控制：NIST SP 800-53B 修订版 5，信息系统和组织的控制基线：NIST SP 800-160 卷 1，系统安全工程

5、：NIST SP 800-160 卷 2，开发网络弹性系统：系统安全工程方法：NIST SP 800-181 修订版 1，国家网络安全教育倡议(NICE)网络安全劳动力框架：NISTIR 7622，联邦信息系统的定义供应链风险管理实践：NISTIR 8179，关键性分析过程模型：优先考虑系统和组件：NISTIR 8276，网络供应链风险管理的关键实践：来自行业的观察：NISTIR 8286，识别和估计企业风险管理(ERM)的网络安全风险：NISTIR 8286A，识别和评估企业风险管理的网络安全风险：NISTIR 8286B，优先考虑企业风险管理的网络安全风险：新增NIST.CSWP.0204

6、2020-1网络供应链风险管理案例研究NIST.CSWP.02042020-2匿名消费电子公司NIST.CSWP.02042020-3 匿名消费品公司NIST.CSWP.02042020-4匿名可再生能源公司NIST.CSWP.02042020-5梅奥诊所NIST.CSWP.02042020-6 Palo Alto网络公司NIST.CSWP.02042020-7希捷技术美国NIST标准下的供应链安全管理（SP 800-161 r1）访问控制政策和程序账户管理访问实施信息流实施职责分离远程访问无线接入移动设备访问控制使用外部系统信息共享可公开访问的内容数据挖掘保护访问控制决定意识和培训政策和程序