开发安全与软件供应链安全的关系 – 作者:国舜科技

硬件采购和软件采购构成了IT供应链的采购形态，具体构成如下图：

IT供应链采购形态当下IT供应链攻击主要针对软件供应链。软件供应链与开发过程关系复杂，以软件采购中的“采购+定制”为例，至少有三个开发过程，如下图所示：

软件供应链包含开发过程说明

由此可见开发过程安全的重要性和困难性。

软件供应链的开发、交付和使用环节均存在不同的安全威胁，但开发环节无疑是最关键的。其威胁分析如下图：

软件供应链威胁分析

显然，要规避软件供应链攻击威胁并不容易，在快速开发的过程中注重全周期开发安全显得尤为重要。国舜股份全生命周期安全开发解决方案覆盖需求、设计、编码、测试、部署等全周期开发阶段，以业务安全和信息安全为出发点，通过流程、制度、规范的梳理，相关人员安全意识的培训，威胁资源库、安全测试资源库等相关资源的建设，为客户建设完善的开发安全管理体系和技术支撑体系，充分保障开发出来的业务系统满足业务安全和信息安全的需求，有效提升客户开发团队的安全意识和安全开发能力，实现信息安全的“早预防、早发现、早响应”。用户通过建立和完善全生命周期开发安全管理体系，将安全保障贯穿信息系统生命周期始终，保证信息系统生命周期各阶段安全活动分工明确，责任落实，便于量化考核；在信息系统开始规划阶段即全面考虑系统安全问题，实施各种安全控制措施，节省综合成本，解决安全问题、简化安全管理。通过全生命周期安全开发解决方案用户可实现安全意识、管理制度、系统安全等多方面升级，规避潜在的软件供应链风险，保障全阶段信息系统安全。
来源：freebuf.com 2021-03-11 17:13:35 by: 国舜科技