软件供应链防御指南太多？如何避免成为下一个SolarWinds, Log4j, and XZ Uti...

独眼情报 · 公众号 · · 2025-03-21 12:28

正文

当不良代码进入软件供应链时，后果可能非常不愉快——正如论文标题中提到的几个近期备受瞩目的案例所示：“闭合链条：如何降低成为 SolarWinds、Log4j 或 XZ Utils 的风险。”

预印本论文的作者，北卡罗来纳州立大学和雅虎的专家们，之所以开展这项研究，是因为他们认为组织很难从市场上众多的供应链防御工具中做出选择。

安全意识强的程序员确实有很多建议需要考虑。美国国家标准与技术研究院（NIST）提供了其安全软件开发框架（SSDF [PDF]）和网络安全供应链风险管理实践指南。CISA 开发了一份自我认证表格。

开源安全基金会开发了一个软件安全评分卡。云原生计算基金会提供了 OWASP 软件组件验证标准[PDF]和供应链安全框架(S2C2F)。

如果追赶所有这些似乎令人生畏，还有 Proactive Software Supply Chain Risk Management Framework，它从 10 个不同的框架中提炼出了 73 项供应链安全任务。

简而言之，对于试图改善其软件供应链安全状况的组织来说，有很多建议。

推荐文章

健康杭州 · 00后网红每月染发一次，皮肤竟长出密麻斑点！医生的这些建议，你需要听

2 天前

国际科学 · 研究发现：喜欢吃肉，是真的会加快衰老，甚至折寿！

2 天前

优速快递 · “天价虫草”跌落神坛，藏民小伙的话让人恍然大悟！事关健康，吃前要看！

2 天前

城事导航 · 一次亲热，40岁男子差点没命！

2 天前

浑河云Go · 饭前喝杯它，血糖稳了、腰围小了！方法简单到离谱→

3 天前

下厨房 · 种草 | 一分钟减肥早餐，《欢乐颂》刘涛同款

8 年前

安利云学堂 · 化妆与否会影响收入？对，你没看错！

8 年前

哈尔滨发布 · 【文明美丽哈尔滨】200名家属报名参加清明大连海葬｜分别于3月25日、4月29日举行

8 年前

娱乐大爆炸 · 你适合多大的男人？准的不可思议！

8 年前

十点读书 · 只追求性价比的人生，该有多无趣啊

7 年前