美国三个政府机构——网络安全和信息安全局 (CISA)、国家安全局 (NSA) 和国家情报总监办公室 (ODNI)——宣布发布三部分联合文件的第一部分确保软件供应链安全的指南。

该指南由持久安全框架 (ESF) 创建，ESF 是一个由 NSA 和 CISA 领导的跨部门工作组，专注于解决威胁关键基础设施和国家安全的风险。

该系列的第一部分，即保护软件供应链系列 - 开发人员推荐实践，为寻求提高软件供应链安全性的软件开发人员提供了推荐的最佳实践。

“本文档将提供符合行业最佳实践和原则的指南，强烈鼓励软件开发人员参考这些指南。这些原则包括安全需求规划、从安全角度设计软件架构、添加安全功能以及维护软件和底层基础设施的安全，”该组织表示。

该指南旨在适用于多种场景，为安全软件开发生命周期 (Secure SDLC) 提供可操作的建议，这是迈向安全软件供应链的第一步。

建议开发团队调整和定制安全的 SDLC 流程以满足他们的特定需求，确定他们可以使用的程序和策略来确保安全开发实践的实施。

“顶级组织管理团队必须确保安全开发政策和程序在预算和时间表内得到支持，并由指定的开发团队实施和遵守，”指南补充说。

该文档详细介绍了软件开发生命周期中可能发生的常见威胁场景，并提供了有关缓解措施、架构和设计文档、威胁模型和安全测试计划的创建、发布标准、漏洞处理策略以及评估和培训的建议。

该指南还推荐了 NIST、卡内基梅隆大学、OWASP、US-Cert、OpenSSF 等提供的各种安全 SDLC 流程和实践。

也可通过知识星球免费获取翻译文件！

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 网络安全等级保护：等级保护测评过程及各方责任
3. 网络安全等级保护：政务计算机终端核心配置规范思维导图
4. 网络安全等级保护：什么是等级保护？
   
5. 网络安全等级保护：信息技术服务过程一般要求
6. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
7. 闲话等级保护：什么是网络安全等级保护工作的内涵？
8. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
9. 闲话等级保护：测评师能力要求思维导图
   
10. 闲话等级保护：应急响应计划规范思维导图
    
11. 闲话等级保护：浅谈应急响应与保障
    
12. 闲话等级保护：如何做好网络总体安全规划
    
13. 闲话等级保护：如何做好网络安全设计与实施
    
14. 闲话等级保护：要做好网络安全运行与维护
    
15. 闲话等级保护：人员离岗管理的参考实践
16. 信息安全服务与信息系统生命周期的对应关系

1. 工业控制系统安全：信息安全防护指南
2. 工业控制系统安全：工控系统信息安全分级规范思维导图
3. 工业控制系统安全：DCS防护要求思维导图
4. 工业控制系统安全：DCS管理要求思维导图
5. 工业控制系统安全：DCS评估指南思维导图
6. 工业控制安全：工业控制系统风险评估实施指南思维导图
7. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
8. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图

1. 数据安全风险评估清单

2. 成功执行数据安全风险评估的3个步骤

3. 美国关键信息基础设施数据泄露的成本

4. VMware 发布9.8分高危漏洞补丁

5. 备份：网络和数据安全的最后一道防线

6. 数据安全：数据安全能力成熟度模型

7. 数据安全知识：什么是数据保护以及数据保护为何重要？

8. 信息安全技术：健康医疗数据安全指南思维导图

原文始发于微信公众号（祺印说信安）：美国政府发布软件供应链安全指南