5、软件供应链中的基础设施安全

软件供应链中的基础设施安全

1. 基础设施安全概述

知识产权和最终产品（包括代码、数据、缺陷信息、脚本和生产文件）的安全依赖于产品生命周期中使用的各种基础设施、系统和设备。基础设施安全不仅仅关注 IT 管理的平台，也不会在代码完成时停止，它必须涵盖所有平台和流程，如数字副本、云、移动应用商店、开发系统、下载中心、制造系统、供应链物流、服务和最终用户。

基础设施安全的核心原则由 CIA（保密性、完整性和可用性）三元组表示。组织需要在其网络的各个方面体现这些原则，以实现强大的基础设施安全。缺乏相关政策可能会带来灵活性，但也会导致安全漏洞，因此需要在灵活性和安全性之间找到平衡。

2. 开发者环境

2.1 开发者环境特点

在典型的企业环境中，大多数用户使用类似的设备（端点），如笔记本电脑、台式机、平板电脑和移动设备，IT 组织会对这些端点进行标准化管理。然而，开发者通常需要维护自己的开发环境，以满足创建新应用程序和产品的复杂性和灵活性要求，这可能包括虚拟机（VMs）、虚拟专用云（VPCs）、虚拟机管理程序和双启动操作系统等。这些环境往往对 IT 组织及其端点管理系统不可见，被称为“影子 IT”。

2.2 安全措施

• 合作制定策略 ：与开发团队合作，建立适用于组织的特定策略、流程、控制和工具，包括可创建、部署、配置和删除的预配置环境。
• 严格的互联网访问控制 ：任何可从互联网访问的环境都必须有严格的控制、规则和政策，以防止恶意威胁。
• 额外的安全实践