超级会员免费看
软件供应链安全:基础设施与开发周期全解析
在当今数字化时代,软件供应链安全至关重要。从基础设施的各个环境到安全开发周期的关键要素,每一个环节都可能影响软件的安全性。下面我们将详细探讨基础设施安全控制以及安全开发周期的相关内容。
1. 基础设施安全控制
基础设施安全控制涵盖了多个方面,针对不同的环境和场景有不同的控制措施。
1.1 预生产和生产环境
预生产和生产环境通常由运营团队管理,以确保内部或外部用户的业务连续性。在许多现代开发生命周期中,测试或预生产环境可能不存在。对于这些环境,应实施以下操作:
- 实施最小权限控制,确保用户仅拥有完成工作所需的最低权限。
- 记录和监控事件,密切关注特权访问操作。
- 优先处理生产环境产生的事件和警报,特别关注恶意行为或事件,如 DDoS 攻击。
- 尽可能将这些环境连接到 SOC、SIEM 或 SOAR 系统和流程,以便快速检测未经授权的事件,减少损失和风险。
| 控制编号 | 控制内容 |
|---|---|
| IS - 06 | 为所有应用程序、系统和环境维护适当的补丁和更新。 |
| IS - 07 | 识别应用程序、系统和环境的威胁,并实施缓解和补偿控制以防止威胁。 |
| IS - 08 | 优先对生产环境进行日志记录、监控和打补丁, |
订阅专栏 解锁全文
扫一扫
3590
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
