软件供应链安全管理实践之麒麟软件

2024-09-02 23:20

本文主要是介绍软件供应链安全管理实践之麒麟软件,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节,软件供应链安全国家标准及政策的发布,为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》,旨在展示麒麟软件在相关制度下进行的软件供应链安全管理实践。

2022年11月麒麟软件有限公司作为首批标准试点单位参与对国标条款的验证工作。试点期间,麒麟软件重点对产品的安全开发过程、上游组件、交付时软件的安全状态、交付方式等进行验证,明确了国标对机构管理、制度管理、人员管理、供应商管理、知识产权管理、软件采购、外部组件使用、软件交付、软件运维、软件废止、软件供应链安全风险、软件构成图谱等方面的要求。

1、开发过程方面,涵盖了研发工具、开发工具、编译工具、测试工具、版本管理工具等软件开发过程中不可或缺工具的风险识别及应对。

2、上游组件方面,制定了完整的开源许可证合规管理体系,开源组件CVE漏洞持续的跟踪修复,建立物料清单SBOM及可信软件仓库,积极参与开源社区,对内强调全面拥抱开源,对外注重开源社区间合作与开源生态建设,形成开源软件开发与开源社区发展的内外循环。

3、交付安全性方面,对于实体类物料,只有刻录成功且经验证的光盘,才会用于交付;对于电子物料,会提供入库时的MD5值或者哈希值,以确保用户获取的文件完整性且无安全隐患。

4、升级和维护安全性方面,实施强密码策略、多因素身份验证和访问审计,强制要求通信链路必须使用HTTPS进行数据传输,软件包安全和签名验证,确保所有更新文件为正版且未被篡改。

同时,为应对供应链安全方面新的挑战,麒麟软件从以下方面加强供应链安全风险控制:

(1)积极构建自主可持续操作系统根社区。麒麟软件已主导构建 openKylin开源根社区,并且积极贡献 OpenEuler 开源社区、在社区贡献始终名列前茅。

(2)建立统一安全开发流程。通过统一门禁、统一代码托管、统一构建、统一测试等做好开发过程管理,做好供应链软件和供应链生态的安全管理。实现从设计、开发、测试、发布到运维保障的全生命周期闭环供应链安全。

(3)持续加大对开源社区投入。下一步麒麟软件将持续加大对开源社区投入。并通过开发者赋能专项行动、麒麟安全生态联盟建设等途径完善银河麒麟操作系统供应链安全管理体系。

这篇关于软件供应链安全管理实践之麒麟软件的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1131358

相关文章

Python使用getopt处理命令行参数示例解析(最佳实践)

《Python使用getopt处理命令行参数示例解析(最佳实践)》getopt模块是Python标准库中一个简单但强大的命令行参数处理工具,它特别适合那些需要快速实现基本命令行参数解析的场景,或者需要... 目录为什么需要处理命令行参数?getopt模块基础实际应用示例与其他参数处理方式的比较常见问http

JAVA保证HashMap线程安全的几种方式

《JAVA保证HashMap线程安全的几种方式》HashMap是线程不安全的,这意味着如果多个线程并发地访问和修改同一个HashMap实例,可能会导致数据不一致和其他线程安全问题,本文主要介绍了JAV... 目录1. 使用 Collections.synchronizedMap2. 使用 Concurren

HTML5中的Microdata与历史记录管理详解

《HTML5中的Microdata与历史记录管理详解》Microdata作为HTML5新增的一个特性,它允许开发者在HTML文档中添加更多的语义信息,以便于搜索引擎和浏览器更好地理解页面内容,本文将探... 目录html5中的Mijscrodata与历史记录管理背景简介html5中的Microdata使用M

Spring 基于XML配置 bean管理 Bean-IOC的方法

《Spring基于XML配置bean管理Bean-IOC的方法》:本文主要介绍Spring基于XML配置bean管理Bean-IOC的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一... 目录一. spring学习的核心内容二. 基于 XML 配置 bean1. 通过类型来获取 bean2. 通过

Java Optional的使用技巧与最佳实践

《JavaOptional的使用技巧与最佳实践》在Java中,Optional是用于优雅处理null的容器类,其核心目标是显式提醒开发者处理空值场景,避免NullPointerExce... 目录一、Optional 的核心用途二、使用技巧与最佳实践三、常见误区与反模式四、替代方案与扩展五、总结在 Java

Spring Boot循环依赖原理、解决方案与最佳实践(全解析)

《SpringBoot循环依赖原理、解决方案与最佳实践(全解析)》循环依赖指两个或多个Bean相互直接或间接引用,形成闭环依赖关系,:本文主要介绍SpringBoot循环依赖原理、解决方案与最... 目录一、循环依赖的本质与危害1.1 什么是循环依赖?1.2 核心危害二、Spring的三级缓存机制2.1 三

python uv包管理小结

《pythonuv包管理小结》uv是一个高性能的Python包管理工具,它不仅能够高效地处理包管理和依赖解析,还提供了对Python版本管理的支持,本文主要介绍了pythonuv包管理小结,具有一... 目录安装 uv使用 uv 管理 python 版本安装指定版本的 Python查看已安装的 Python

Python 中的 with open文件操作的最佳实践

《Python中的withopen文件操作的最佳实践》在Python中,withopen()提供了一个简洁而安全的方式来处理文件操作,它不仅能确保文件在操作完成后自动关闭,还能处理文件操作中的异... 目录什么是 with open()?为什么使用 with open()?使用 with open() 进行

基于Python和MoviePy实现照片管理和视频合成工具

《基于Python和MoviePy实现照片管理和视频合成工具》在这篇博客中,我们将详细剖析一个基于Python的图形界面应用程序,该程序使用wxPython构建用户界面,并结合MoviePy、Pill... 目录引言项目概述代码结构分析1. 导入和依赖2. 主类:PhotoManager初始化方法:__in

Python从零打造高安全密码管理器

《Python从零打造高安全密码管理器》在数字化时代,每人平均需要管理近百个账号密码,本文将带大家深入剖析一个基于Python的高安全性密码管理器实现方案,感兴趣的小伙伴可以参考一下... 目录一、前言:为什么我们需要专属密码管理器二、系统架构设计2.1 安全加密体系2.2 密码强度策略三、核心功能实现详解