-
供应链安全的管理维度
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
渠道和安全检测
-
同时发布制品清单
-
对于软件厂商
-
对于用户
[7] Webmin 1.890 Exploit - What Happened? https://www.webmin.com/exploit.html
----------------------------------------------------------------
-
提供明确的安全标准,这个标准可以从影响出发,定义什么样的影响的安全问题,(其实不仅仅是供应链攻击里面涉及的组件安全问题,甚至是逻辑漏洞都可能适用)承担什么样的责任,或者需要什么样的承诺。通过这个承诺来约束修复动作发生和保证修复效果。 -
如果团队安全能力足够的话,可以在标准里面明确接口和二开的实现方式要求和安全功能要求,要求合作方达到,也能取到效果。
-
每种类型的供应商管理方式和排查方式,以及风险是不同的, 可以针对性地做一些措施。 -
但是有些通用的动作,比如协议约束,尝试要求公开和自动化获取制品清单,这些可以通用。 -
如果是纯软件供应商,对于他们管理的成熟度,今天介绍的Google的SLSA 是有成熟的level的,可以参考一下。
原文始发于微信公众号(君哥的体历):陈曦:信息系统供应链安全管理入门
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论