即便您的组织严重依赖第三方软件,您仍然有责任确保软件符合安全预期、遵守合规要求并保护客户数据。
即便您的组织严重依赖第三方软件,您仍然有责任确保软件符合安全预期、遵守合规要求并保护客户数据。
我们此前推出一种针对供应商的紧凑型 BSIMM 版本,称为 vBSIMM:如今我们发布了新版:BSIMMsc BSIMMsc 介绍了可在您的软件供应链风险管理策略中运用的一系列活动。它帮助您评估供应商软件开发过程中的软件安全功能。
BSIMM9 有五项特定活动(共 116 项),涉及控制与第三方供应商相关的软件安全风险。这五项活动值得宣扬,采购第三方软件的所有公司都应当执行这些活动:
每个采购第三方软件(无论是定制的、商用现成品、开源还是其他任何软件)的公司,都应该花时间来确定他们开展的与每位软件供应商有关的这五项活动的情况。
BSIMMsc 比较以下 BSIMM 活动:
BSIMM 实践活动 |
识别并应对 |
集成并管辖 |
深度与自动化 |
策略与指标 |
SM1.4 |
SM2.2 |
|
合规与政策 |
CP1.3 |
|
|
培训 |
T1.5 |
|
|
标准和要求 |
SR2.4 |
|
|
架构分析 |
AA1.4 |
AA1.1 |
AA1.2 |
代码审查 |
CR2.7 |
CR1.2 |
CR1.4 |
安全测试 |
ST1.1 |
ST1.3 |
ST2.1、ST2.6 |
渗透测试 |
PT1.1 |
PT1.2 |
PT1.3 |
软件环境 |
SE3.6 |
|
|
配置 管理 和漏洞 管理 |
CMVM1.1 |
CMVM1.2 |
CMVM2.2 |
使用该模型检查任何软件供应商的软件安全性成熟度。
根据软件本身的风险等级和供应商评估的结果,您可以对其软件进行测试。适当时,您可以完成静态分析 (SAST)、渗透测试、架构风险分析、动态分析测试 (DAST),以及模糊测试。