软件供应链安全实践的梳理

软件供应链：是一种由供应关系、供应活动构成的网链结构。需方从一个或多个供方采购和获取软件产品，形成一条软件供应链。

软件供应链安全：是软件供应链各个关键环节上的安全内容的统称。治理的目标，就是通过管理制度和技术手段，降低软件供应链的安全风险。

软件保障成熟度模型是一个开放的框架，主要是帮助企业制定并实施策略，以面对软件安全风险。它适用于大中小型企业，可以涉及各种软件开发任务，框架由治理、涉及、开发、验证、运营五个功能模块组成。

在使用模型时，可以根据计划不断的执行安全动作，评估效果，并加以改进。该方法论倡导了一种循序渐进的方式，企业根据自身情况，早期可以将安全目标的级别定义低一些，熟悉之后在提高要求，适合初学者

安全开发生命周期（SDL）由一套支持安全保证和合规要求的实践组成。SDL通过减少软件漏洞的数量和严重性，同时降低开发成本，帮助开发人员构建更安全的软件。

Microsoft SDL在开发过程的所有阶段都引入了安全和隐私考虑，帮助开发人员构建高度安全的软件，满足安全合规要求，并降低开发成本。Microsoft SDL中的指导、最佳实践、工具和流程是用于构建更安全的产品和服务的实践

美国国家标准与技术研究院(NIST)发布软件供应链安全指南，NIST在研究并收取多方意见后，更新发布了SSDF V1.1，修订了多项内容，旨在帮助美国联邦机构了解和评估软件供应商的安全。

NIST适用于美国联邦机构采购软件前，对供应商的供应链安全进行评估的场景。通过框架内的内容来确保供应商在整个软件生命周期中一直遵循基于风险的安全软件开发方法    

本文来源owasp中国    

原文始发于微信公众号（安全架构）：软件供应链安全实践的梳理