软件供应链安全管理实践之麒麟软件

2024-09-02 23:20

本文主要是介绍软件供应链安全管理实践之麒麟软件,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节,软件供应链安全国家标准及政策的发布,为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》,旨在展示麒麟软件在相关制度下进行的软件供应链安全管理实践。

2022年11月麒麟软件有限公司作为首批标准试点单位参与对国标条款的验证工作。试点期间,麒麟软件重点对产品的安全开发过程、上游组件、交付时软件的安全状态、交付方式等进行验证,明确了国标对机构管理、制度管理、人员管理、供应商管理、知识产权管理、软件采购、外部组件使用、软件交付、软件运维、软件废止、软件供应链安全风险、软件构成图谱等方面的要求。

1、开发过程方面,涵盖了研发工具、开发工具、编译工具、测试工具、版本管理工具等软件开发过程中不可或缺工具的风险识别及应对。

2、上游组件方面,制定了完整的开源许可证合规管理体系,开源组件CVE漏洞持续的跟踪修复,建立物料清单SBOM及可信软件仓库,积极参与开源社区,对内强调全面拥抱开源,对外注重开源社区间合作与开源生态建设,形成开源软件开发与开源社区发展的内外循环。

3、交付安全性方面,对于实体类物料,只有刻录成功且经验证的光盘,才会用于交付;对于电子物料,会提供入库时的MD5值或者哈希值,以确保用户获取的文件完整性且无安全隐患。

4、升级和维护安全性方面,实施强密码策略、多因素身份验证和访问审计,强制要求通信链路必须使用HTTPS进行数据传输,软件包安全和签名验证,确保所有更新文件为正版且未被篡改。

同时,为应对供应链安全方面新的挑战,麒麟软件从以下方面加强供应链安全风险控制:

(1)积极构建自主可持续操作系统根社区。麒麟软件已主导构建 openKylin开源根社区,并且积极贡献 OpenEuler 开源社区、在社区贡献始终名列前茅。

(2)建立统一安全开发流程。通过统一门禁、统一代码托管、统一构建、统一测试等做好开发过程管理,做好供应链软件和供应链生态的安全管理。实现从设计、开发、测试、发布到运维保障的全生命周期闭环供应链安全。

(3)持续加大对开源社区投入。下一步麒麟软件将持续加大对开源社区投入。并通过开发者赋能专项行动、麒麟安全生态联盟建设等途径完善银河麒麟操作系统供应链安全管理体系。

这篇关于软件供应链安全管理实践之麒麟软件的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/1131358

相关文章

虚拟机Centos7安装MySQL数据库实践

《虚拟机Centos7安装MySQL数据库实践》用户分享在虚拟机安装MySQL的全过程及常见问题解决方案,包括处理GPG密钥、修改密码策略、配置远程访问权限及防火墙设置,最终通过关闭防火墙和停止Net... 目录安装mysql数据库下载wget命令下载MySQL安装包安装MySQL安装MySQL服务安装完成

SpringBoot整合(ES)ElasticSearch7.8实践

《SpringBoot整合(ES)ElasticSearch7.8实践》本文详细介绍了SpringBoot整合ElasticSearch7.8的教程,涵盖依赖添加、客户端初始化、索引创建与获取、批量插... 目录SpringBoot整合ElasticSearch7.8添加依赖初始化创建SpringBoot项

Zabbix在MySQL性能监控方面的运用及最佳实践记录

《Zabbix在MySQL性能监控方面的运用及最佳实践记录》Zabbix通过自定义脚本和内置模板监控MySQL核心指标(连接、查询、资源、复制),支持自动发现多实例及告警通知,结合可视化仪表盘,可有效... 目录一、核心监控指标及配置1. 关键监控指标示例2. 配置方法二、自动发现与多实例管理1. 实践步骤

Nginx安全防护的多种方法

《Nginx安全防护的多种方法》在生产环境中,需要隐藏Nginx的版本号,以避免泄漏Nginx的版本,使攻击者不能针对特定版本进行攻击,下面就来介绍一下Nginx安全防护的方法,感兴趣的可以了解一下... 目录核心安全配置1.编译安装 Nginx2.隐藏版本号3.限制危险请求方法4.请求限制(CC攻击防御)

MySQL 迁移至 Doris 最佳实践方案(最新整理)

《MySQL迁移至Doris最佳实践方案(最新整理)》本文将深入剖析三种经过实践验证的MySQL迁移至Doris的最佳方案,涵盖全量迁移、增量同步、混合迁移以及基于CDC(ChangeData... 目录一、China编程JDBC Catalog 联邦查询方案(适合跨库实时查询)1. 方案概述2. 环境要求3.

Linux进程CPU绑定优化与实践过程

《Linux进程CPU绑定优化与实践过程》Linux支持进程绑定至特定CPU核心,通过sched_setaffinity系统调用和taskset工具实现,优化缓存效率与上下文切换,提升多核计算性能,适... 目录1. 多核处理器及并行计算概念1.1 多核处理器架构概述1.2 并行计算的含义及重要性1.3 并

全面掌握 SQL 中的 DATEDIFF函数及用法最佳实践

《全面掌握SQL中的DATEDIFF函数及用法最佳实践》本文解析DATEDIFF在不同数据库中的差异,强调其边界计算原理,探讨应用场景及陷阱,推荐根据需求选择TIMESTAMPDIFF或inte... 目录1. 核心概念:DATEDIFF 究竟在计算什么?2. 主流数据库中的 DATEDIFF 实现2.1

Spring Boot集成Druid实现数据源管理与监控的详细步骤

《SpringBoot集成Druid实现数据源管理与监控的详细步骤》本文介绍如何在SpringBoot项目中集成Druid数据库连接池,包括环境搭建、Maven依赖配置、SpringBoot配置文件... 目录1. 引言1.1 环境准备1.2 Druid介绍2. 配置Druid连接池3. 查看Druid监控

Knife4j+Axios+Redis前后端分离架构下的 API 管理与会话方案(最新推荐)

《Knife4j+Axios+Redis前后端分离架构下的API管理与会话方案(最新推荐)》本文主要介绍了Swagger与Knife4j的配置要点、前后端对接方法以及分布式Session实现原理,... 目录一、Swagger 与 Knife4j 的深度理解及配置要点Knife4j 配置关键要点1.Spri

Spring WebFlux 与 WebClient 使用指南及最佳实践

《SpringWebFlux与WebClient使用指南及最佳实践》WebClient是SpringWebFlux模块提供的非阻塞、响应式HTTP客户端,基于ProjectReactor实现,... 目录Spring WebFlux 与 WebClient 使用指南1. WebClient 概述2. 核心依