软件供应链安全管理实践之麒麟软件

2024-09-02 23:20

本文主要是介绍软件供应链安全管理实践之麒麟软件,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

软件供应链安全管理是保护软件开发和交付过程中所有组件的安全性和完整性的重要环节,软件供应链安全国家标准及政策的发布,为企业软件供应链安全管理提供了依据。

本文摘选自软件供应链安全推进工作组指导、苏州棱镜七彩信息科技有限公司主笔的《2023软件供应链安全研究报告》中第八章《保障软件供应链安全能力评估及安全管理实践》,旨在展示麒麟软件在相关制度下进行的软件供应链安全管理实践。

2022年11月麒麟软件有限公司作为首批标准试点单位参与对国标条款的验证工作。试点期间,麒麟软件重点对产品的安全开发过程、上游组件、交付时软件的安全状态、交付方式等进行验证,明确了国标对机构管理、制度管理、人员管理、供应商管理、知识产权管理、软件采购、外部组件使用、软件交付、软件运维、软件废止、软件供应链安全风险、软件构成图谱等方面的要求。

1、开发过程方面,涵盖了研发工具、开发工具、编译工具、测试工具、版本管理工具等软件开发过程中不可或缺工具的风险识别及应对。

2、上游组件方面,制定了完整的开源许可证合规管理体系,开源组件CVE漏洞持续的跟踪修复,建立物料清单SBOM及可信软件仓库,积极参与开源社区,对内强调全面拥抱开源,对外注重开源社区间合作与开源生态建设,形成开源软件开发与开源社区发展的内外循环。

3、交付安全性方面,对于实体类物料,只有刻录成功且经验证的光盘,才会用于交付;对于电子物料,会提供入库时的MD5值或者哈希值,以确保用户获取的文件完整性且无安全隐患。

4、升级和维护安全性方面,实施强密码策略、多因素身份验证和访问审计,强制要求通信链路必须使用HTTPS进行数据传输,软件包安全和签名验证,确保所有更新文件为正版且未被篡改。

同时,为应对供应链安全方面新的挑战,麒麟软件从以下方面加强供应链安全风险控制:

(1)积极构建自主可持续操作系统根社区。麒麟软件已主导构建 openKylin开源根社区,并且积极贡献 OpenEuler 开源社区、在社区贡献始终名列前茅。

(2)建立统一安全开发流程。通过统一门禁、统一代码托管、统一构建、统一测试等做好开发过程管理,做好供应链软件和供应链生态的安全管理。实现从设计、开发、测试、发布到运维保障的全生命周期闭环供应链安全。

(3)持续加大对开源社区投入。下一步麒麟软件将持续加大对开源社区投入。并通过开发者赋能专项行动、麒麟安全生态联盟建设等途径完善银河麒麟操作系统供应链安全管理体系。

这篇关于软件供应链安全管理实践之麒麟软件的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1131358

相关文章

tomcat多实例部署的项目实践

《tomcat多实例部署的项目实践》Tomcat多实例是指在一台设备上运行多个Tomcat服务,这些Tomcat相互独立,本文主要介绍了tomcat多实例部署的项目实践,具有一定的参考价值,感兴趣的可... 目录1.创建项目目录,测试文China编程件2js.创建实例的安装目录3.准备实例的配置文件4.编辑实例的

Python 中的异步与同步深度解析(实践记录)

《Python中的异步与同步深度解析(实践记录)》在Python编程世界里,异步和同步的概念是理解程序执行流程和性能优化的关键,这篇文章将带你深入了解它们的差异,以及阻塞和非阻塞的特性,同时通过实际... 目录python中的异步与同步:深度解析与实践异步与同步的定义异步同步阻塞与非阻塞的概念阻塞非阻塞同步

Python Dash框架在数据可视化仪表板中的应用与实践记录

《PythonDash框架在数据可视化仪表板中的应用与实践记录》Python的PlotlyDash库提供了一种简便且强大的方式来构建和展示互动式数据仪表板,本篇文章将深入探讨如何使用Dash设计一... 目录python Dash框架在数据可视化仪表板中的应用与实践1. 什么是Plotly Dash?1.1

springboot集成Deepseek4j的项目实践

《springboot集成Deepseek4j的项目实践》本文主要介绍了springboot集成Deepseek4j的项目实践,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价... 目录Deepseek4j快速开始Maven 依js赖基础配置基础使用示例1. 流式返回示例2. 进阶

Android App安装列表获取方法(实践方案)

《AndroidApp安装列表获取方法(实践方案)》文章介绍了Android11及以上版本获取应用列表的方案调整,包括权限配置、白名单配置和action配置三种方式,并提供了相应的Java和Kotl... 目录前言实现方案         方案概述一、 androidManifest 三种配置方式

nvm如何切换与管理node版本

《nvm如何切换与管理node版本》:本文主要介绍nvm如何切换与管理node版本问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录nvm切换与管理node版本nvm安装nvm常用命令总结nvm切换与管理node版本nvm适用于多项目同时开发,然后项目适配no

Spring Boot中定时任务Cron表达式的终极指南最佳实践记录

《SpringBoot中定时任务Cron表达式的终极指南最佳实践记录》本文详细介绍了SpringBoot中定时任务的实现方法,特别是Cron表达式的使用技巧和高级用法,从基础语法到复杂场景,从快速启... 目录一、Cron表达式基础1.1 Cron表达式结构1.2 核心语法规则二、Spring Boot中定

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

Ubuntu中Nginx虚拟主机设置的项目实践

《Ubuntu中Nginx虚拟主机设置的项目实践》通过配置虚拟主机,可以在同一台服务器上运行多个独立的网站,本文主要介绍了Ubuntu中Nginx虚拟主机设置的项目实践,具有一定的参考价值,感兴趣的可... 目录简介安装 Nginx创建虚拟主机1. 创建网站目录2. 创建默认索引文件3. 配置 Nginx4

Redis实现RBAC权限管理

《Redis实现RBAC权限管理》本文主要介绍了Redis实现RBAC权限管理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录1. 什么是 RBAC?2. 为什么使用 Redis 实现 RBAC?3. 设计 RBAC 数据结构