即便您的组织严重依赖第三方软件,您仍然有责任确保软件符合安全预期、遵守合规要求并保护客户数据。
BSIMMsc
在软件供应链中应用 BSIMM
您需要一套基本的安全控制措施,在软件供应链中进行风险管理
我们此前推出一种针对供应商的紧凑型 BSIMM 版本,称为 vBSIMM:如今我们发布了新版:BSIMMsc BSIMMsc 介绍了可在您的软件供应链风险管理策略中运用的一系列活动。它帮助您评估供应商软件开发过程中的软件安全功能。
软件供应链管理的关键步骤
1. 通过 BSIMM 衡量自己
BSIMM9 有五项特定活动(共 116 项),涉及控制与第三方供应商相关的软件安全风险。这五项活动值得宣扬,采购第三方软件的所有公司都应当执行这些活动:
- 合规与政策 2.4: 在所有供应商合同中加入软件安全 SLA。
- 合规 与政策 3.2:针对供应商实施政策。
- 培训 3.2:为供应商或外包人员提供培训。
- 标准和要求 2.5:创建 SLA 样板。
- 标准和要求 3.2:向供应商传达标准。
每个采购第三方软件(无论是定制的、商用现成品、开源还是其他任何软件)的公司,都应该花时间来确定他们开展的与每位软件供应商有关的这五项活动的情况。
2. 将 BSIMMsc 用于您的软件供应链
BSIMMsc 比较以下 BSIMM 活动:
BSIMM 实践活动 |
识别并应对 |
集成并管辖 |
深度与自动化 |
策略与指标 |
SM1.4 |
SM2.2 |
|
合规与政策 |
CP1.3 |
|
|
培训 |
T1.5 |
|
|
标准和要求 |
SR2.4 |
|
|
架构分析 |
AA1.4 |
AA1.1 |
AA1.2 |
代码审查 |
CR2.7 |
CR1.2 |
CR1.4 |
安全测试 |
ST1.1 |
ST1.3 |
ST2.1、ST2.6 |
渗透测试 |
PT1.1 |
PT1.2 |
PT1.3 |
软件环境 |
SE3.6 |
|
|
配置 管理 和漏洞 管理 |
CMVM1.1 |
CMVM1.2 |
CMVM2.2 |
使用该模型检查任何软件供应商的软件安全性成熟度。
3. 执行软件测试
根据软件本身的风险等级和供应商评估的结果,您可以对其软件进行测试。适当时,您可以完成静态分析 (SAST)、渗透测试、架构风险分析、动态分析测试 (DAST),以及模糊测试。
BSIMMsc
