如何选择安全、可验证的技术?
澳大利亚信号局的澳大利亚网络安全中心 (ASD 的 ACSC) 发布了一份指导文件,题为《选择安全和可验证的技术》,旨在帮助组织在采购软件(专有或开源)、硬件(例如物联网设备)和云服务(SaaS、MSP 服务)时做出明智的决策。
数字供应链威胁环境
每个攻击媒介可能采取的恶意行为以及可能的缓解策略
| 威胁行为者的攻击向量 | 可能的恶意行为或攻击 | 可能的缓解策略 |
|---|---|---|
| 1 | 恶意代码注入合法的开源软件包。 | 该技术制造商通过安全开发实践(包括内容扫描、验证来源、测试和代码审查)采取缓解措施,防止摄入恶意开源内容。 |
| 开发伪装成合法软件包的恶意开源软件包。 | 技术制造商通过安全开发实践(包括内容扫描、验证来源、测试和代码审查)采取缓解措施,防止纳入恶意开源内容。 | |
| 合法贡献者错误地将错误配置或漏洞添加到开源软件包中。 | 技术制造商通过安全开发实践(包括内容扫描、验证来源、测试和代码审查)采取缓解措施,防止纳入恶意开源内容。 | |
| 产品或服务中存在一类已知漏洞。 | 技术制造商拥有识别、纠正和缓解已知类别的漏洞的方法。 | |
| 2 | 提供恶意或易受攻击的产品或服务。 | 供应技术制造商提供安全流程来验证所供应产品或服务的合法性,例如数字签名、物料清单和防篡改缓解措施,并可提供其安全设计实践和风险缓解措施的证据。 |
| 提供恶意或易受攻击的补丁。 | 提供技术制造商提供数字签名等安全流程来验证补丁的合法性,并提供管理修补过程和计划的方法。 | |
| 恶意行为者拦截传输过程并操纵所提供的内容。 | 供应技术制造商提供了一个安全的流程来验证所收到内容的合法性。 | |
| 3 | 值得信赖的内部人员对要交付给技术消费者的产品或服务进行恶意更改。 | 供应技术制造商采用内部威胁缓解措施来防止恶意更改,例如可验证的变更控制、员工安全筛查和培训以及其他安全设计缓解措施。 |
| 产品或服务中存在一类已知漏洞。 | 供应技术制造商遵循良好的安全设计实践,采取缓解措施,消除已知类别的漏洞的根本原因。 | |
| 4 | 提供恶意或易受攻击的产品或服务。 | 供应技术制造商有一个验证和确认第三方产品或服务(如数字签名)合法性的流程,并验证其供应商安全设计实践和风险缓解措施的证据。 |
| 提供恶意或易受攻击的补丁。 | 供应技术制造商拥有一套流程来验证和确认补丁的合法性,并可以管理补丁流程和调度。此外,他们还必须验证其供应商的安全设计实践和风险缓解措施的证据。 | |
| 提供恶意或易受攻击的程序包或源代码。 | 供应技术制造商拥有一套验证和确认源代码或内容的流程,例如漏洞扫描、动态和静态应用程序安全测试以及恶意软件扫描。此外,他们还必须验证其供应商的安全设计实践和风险缓解措施的证据。 | |
| 恶意行为者拦截传输过程并操纵内容以达到恶意目的。 | 供应技术制造商拥有一套验证和确认收到的内容的流程,例如漏洞扫描、动态和静态应用程序安全测试以及恶意软件扫描。此外,他们还必须验证其供应商的安全设计实践和风险缓解措施的证据。 | |
| 5 | 值得信赖的内部人员对交付给供应技术制造商的产品或服务进行了恶意更改。 | 供应技术制造商已验证并确认了其供应商实施的缓解措施,例如可验证的变更控制、员工安全筛查和培训以及其他安全设计缓解措施。 |
| 产品或服务中存在一类已知漏洞。 | 供应技术制造商已确认并验证了其供应商实施的缓解措施,例如漏洞扫描、动态和静态应用程序安全测试以及其他安全设计实践。 |
它的目标客户是高级管理人员、网络安全专家、风险顾问、采购专业人士以及数字产品和服务制造商。
其目标是通过在整个技术生命周期内评估和管理风险提供可行的建议来改善决策。
它提供以下方面的建议:
了解技术采购中的风险
它深入了解供应链攻击载体和不断演变的网络威胁,并为采购前和采购后的风险管理策略提供指导。
外部采购注意事项
它概述了评估制造商的透明度、证明和遵守安全设计原则的最佳实践,并强调威胁建模、安全认证和确保产品互操作性。
内部组织评估
使采购决策与内部风险阈值、政策和安全基础设施保持一致的步骤。
安全设计和默认安全
它为技术制造商提供建议和指导,帮助他们在开发产品时牢记安全设计和默认安全策略,并提供产品安全验证指南。
鼓励各组织整合以下做法:
进行彻底的购买前评估,利用文件的问题和标准来评估制造商的透明度、合规性和风险承受能力。
利用指导来设计强调生命周期安全、事件管理和数据主权的内部政策和采购策略。
请参阅指南中列出的补充资源和标准以获得深入的技术支持。
本文件并不是一份放之四海而皆准的清单,而是一个可适应每个组织独特需求的灵活框架。
该出版物是 ASD 的 ACSC、美国网络安全和基础设施安全局 (CISA)、加拿大网络安全中心 (CCCS)、英国国家网络安全中心 (NCSC-UK)、新西兰 NCSC 和韩国国家情报局 (NIS) 合作的成果。
选择安全且可验证的技术
https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/outsourcing-and-procurement/cyber-supply-chains/choosing-secure-and-verifiable-technologies
- 介绍
- 第一部分——了解技术采购的风险
- 第二部分——外部采购考虑因素
- 第三部分 - 内部采购考虑事项
- 附录
我们鼓励高层领导阅读我们的《选择安全和可验证的技术——执行指导出版物》,这是该建议的执行摘要,以便对安全技术做出更明智的评估和决策。
介绍
随着越来越多的网络威胁危及用户的隐私和数据,组织必须确保他们始终选择安全且可验证的技术。客户有责任评估购买和操作数字产品或服务的适用性、安全性和风险。然而,重要的是,客户越来越多地要求制造商采用并提供设计和默认安全的产品和服务。通过这种方式,消费者可以提高他们的弹性,降低风险并降低与修补和事件响应相关的成本。
当组织确定需要采购数字产品或服务时,必须考虑产品或服务是否安全,以及在其指定的生命周期内是否能保持安全。安全性不足或较差可能会使组织面临更多甚至无法控制的风险和更高的运营成本。主动将安全考虑因素纳入采购流程有助于管理和显著降低风险并降低成本。
虽然采购组织应尽力提出本文建议的尽可能多的问题,但制造商可能需要时间来调整其行为和做法以提供充分的答案。最终,采购组织必须确保他们已经收集了足够的信息以做出明智的决定。
澳大利亚信号局的澳大利亚网络安全中心 (ASD 的 ACSC) 和以下国际合作伙伴在本指南中提供了建议,作为选择安全和可验证技术的路线图:
- 网络安全和基础设施安全局 (CISA)
- 加拿大网络安全中心(CCCS)
- 英国国家网络安全中心(NCSC-UK)
- 新西兰国家网络安全中心(NCSC-NZ)
- 韩国国家情报局 (NIS) 和 NIS 国家网络安全中心 (NCSC)
观众
本文针对以下人群撰写:
- 采购和利用数字产品和服务的组织。本文中也称为采购组织、购买者、消费者和客户。
- 数字产品和服务制造商。
应阅读本指南的关键人员包括但不限于组织高管、高级经理、网络安全人员、安全政策人员、产品开发团队、风险顾问和采购专家。
本文旨在供所有读者完整阅读,以便:
- 向组织提供有关采购数字产品和服务的安全设计考虑,从而做出更明智的评估和决策。
- 告知制造商数字产品和服务的安全设计注意事项,从而促进安全技术的开发。本文为制造商提供了关键的安全问题以及他们可以预见到的客户期望。我们并不期望制造商能够回答本文中的所有问题。但是,他们仍应努力提供尽可能多的信息,并适当地协助客户。
本文不是一份清单,不应被理解为提供绝对或完美的数字采购结果。相反,它旨在帮助采购组织在其自身运营环境中做出明智的、基于风险的决策。每个组织的结构和采购方法都是独一无二的,因此,本文中的每一项可能都不相关。此外,组织可能需要考虑本文未涵盖的其他项目,这些项目可能是组织本身或其运营所在的行业或地区所特有的。
本文档假设读者具有中等水平的计算和网络安全知识。
相关文章:
如何选择安全、可验证的技术?
澳大利亚信号局的澳大利亚网络安全中心 (ASD 的 ACSC) 发布了一份指导文件,题为《选择安全和可验证的技术》,旨在帮助组织在采购软件(专有或开源)、硬件(例如物联网设备)和云服务(SaaS、MSP 服务…...
Allure在自动化测试中的应用
01 Allure的简介及使用 1、应用场景 自动化的结果一定是通过一个报告来进行体现 Allure 是一个独立的报告插件,生成美观易读的报告,目前支持Python、Java、PHP、C#等语言 为dev/QA 提供详尽的测试报告、测试步骤、日志,也可以为管理层提供统…...
C# 探险之旅:第十一节 - 循环(foreach):一场“遍历”奇幻岛的大冒险!
嘿,勇敢的探险家们!欢迎来到C#奇幻岛的第十一站——“遍历”奇幻岛!今天,我们要乘坐一艘叫做foreach的魔法船,去遍历(也就是一个一个看过来)岛上那些神秘的宝藏箱!准备好了吗&#x…...
Ubuntu24.04配置STMTrack
项目地址:https://github.com/fzh0917/STMTrack 一、安装 CUDA 参考链接: Ubuntu24.04配置DINO-Tracker Ubuntu多CUDA版本安装及切换 由于之前在其他项目中已经安装了 CUDA12.1,这次需要安装另一个版本。 1. 查看安装版本 按照 requireme…...
【Java学习笔记】Map接口和常用方法
一、 Map接口实现类的 特点[很实用] key是自己存的java对象 value是一个固定的 //当有相同的 k ,就等价于替换. 二、 Map常用方法 (根据键–>k) 三、Map接口遍历方法 package com.hspedu.map_; import java.util.*; /** * author 韩顺平 * ver…...
uniapp支持App横竖屏开发总结
一、需求: app要支持重力感应自动切换横竖屏,并切换后样式不能错乱 二、实现 官方文档 官方Git manifest.json文件中 "app-plus" : {"screenOrientation" : ["portrait-primary","portrait-secondary","…...
【工作笔记】Lombok版本变化导致的反序列化异常
Lombok版本变化导致的反序列化异常 背景 因为安全性的考虑,最近在梳理旧系统的系统依赖。改动依赖时候还好,毕竟只是换掉不再合作公司的旧依赖,没敢动别的太多东西。不过没多久,测试团队就找来了… 排查问题之第一次跑偏 旧系…...
多模态大语言模型 MLLM 部署微调实践
1 MLLM 1.1 什么是 MLLM 多模态大语言模型(MultimodalLargeLanguageModel)是指能够处理和融合多种不同类型数据(如文本、图像、音频、视频等)的大型人工智能模型。这些模型通常基于深度学习技术,能够理解和生成多种模…...
LNMP和Discuz论坛
文章目录 LNMP和Discuz论坛1 LNMP搭建1.1 编译安装nginx服务1.1.1 编译安装1.1.2 添加到系统服务 1.2 编译安装MySQL服务1.2.1 准备工作1.2.2 编辑配置文件1.2.3 设置路径环境变量1.2.4 数据库初始化1.2.5 添加mysqld系统服务1.2.6 修改mysql的登录密码 1.3 编译安装PHP服务1.3…...
Cadence学习笔记 2 PCB封装绘制
基于Cadence 17.4,四层板4路HDMI电路 更多Cadence学习笔记:Cadence学习笔记 1 原理图库绘制 目录 2、PCB封装绘制 2、PCB封装绘制 封装尺寸如下。 用Allegro做PCB封装前,要先做焊盘(Allegro 比AD、PADS多一个步骤:绘制…...
网络安全——防火墙
基本概念 防火墙是一个系统,通过过滤传输数据达到防止未经授权的网络传输侵入私有网络,阻止不必要流量的同时允许必要流量进入。防火墙旨在私有和共有网络间建立一道安全屏障,因为网上总有黑客和恶意攻击入侵私有网络来破坏,防火…...
【CSS in Depth 2 精译_074】第 12 章 CSS 排版与间距概述 + 12.1 间距设置(下):行内元素的间距设置
当前内容所在位置(可进入专栏查看其他译好的章节内容) 第四部分 视觉增强技术 ✔️【第 12 章 CSS 排版与间距】 ✔️ 12.1 间距设置 12.1.1 使用 em 还是 px12.1.2 对行高的深入思考12.1.3 行内元素的间距设置 ✔️ 12.2 Web 字体12.3 谷歌字体 文章目…...
短视频矩阵抖音SEO源码OEM独立部署
短视频优化矩阵源码涉及对抖音平台上的视频内容进行筛选与排序,目的是增强其在搜索引擎中的可见度,以便更多用户能够浏览到这些视频。而抖音SEO优化系统则是通过构建一个分析框架,来解析抖音上的用户数据、视频信息及标签等元素,并…...
使用docker快速部署Nginx、Redis、MySQL、Tomcat以及制作镜像
文章目录 应用快速部署NginxRedisMySQLTomcat 制作镜像镜像原理基于已有容器创建使用 Dockerfile 创建镜像指令说明构建应用创建 Dockerfile 文件创建镜像 应用快速部署 Nginx docker run -d -p 80:80 nginx使用浏览器访问虚拟机地址 Redis docker pull redis docker run --…...
在ensp中ACL路由控制实验
一、实验目的 掌握ACL路由控制管理 二、实验要求 要求: 配置路由策略,左右两边不公开区域对方不可达,其他区域可以互相ping通 设备: 1、三台路由器 2、四台交换机 3、四台电脑 4、四台服务器 使用ensp搭建实验环境,如图所…...
μC/OS-Ⅱ源码学习(3)---事件模型
快速回顾 μC/OS-Ⅱ中的多任务 μC/OS-Ⅱ源码学习(1)---多任务系统的实现 μC/OS-Ⅱ源码学习(2)---多任务系统的实现(下) 本文开始,进入事件源码的学习。 事件模型 在一个多任务系统里,各个任务在系统的统筹下相继执行,由于执行速度极快&a…...
Jmeter进阶篇(30)深入探索 JMeter 监听器
前言 在性能测试领域里,Apache JMeter 是一款经典而强大的工具,而其中的监听器(Listeners)组件更是发挥着不可或缺的关键作用。 监听器就像敏锐的观察者,默默记录测试执行过程中的各种数据,作为系统性能分析的数据依据。 本文将带你全方位走进 JMeter 监听器的奇妙世界,…...
虚幻引擎的工程目录结构
虚幻引擎的工程目录结构如下: .idea/.vs:用于IDE(如IntelliJ IDEA或Visual Studio)的项目配置文件,包含工程设置和解决方案文件。 Binaries:存放编译后的可执行文件和相关的动态链接库(DLL&…...
深度学习中的yield
以下为例: def data_iter(batch_size, features, labels):num_examples len(features)indices list(range(num_examples))# 这些样本是随机读取的,没有特定的顺序random.shuffle(indices)for i in range(0, num_examples, batch_size):batch_indices …...
数据库数据恢复—ORACLE常见故障有哪些?如何恢复数据?
Oracle数据库常见故障表现: 1、ORACLE数据库无法启动或无法正常工作。 2、ORACLE ASM存储破坏。 3、ORACLE数据文件丢失。 4、ORACLE数据文件部分损坏。 5、ORACLE DUMP文件损坏。 Oracle数据库数据恢复方案: 1、检测存放数据库的服务器/存储设备是否存…...
使用JavaScrip和HTML搭建一个简单的博客网站系统
搭建一个简单的博客网站系统,我们需要创建几个基本的页面和功能:登录、注册、文章发布等。这里我们先实现一个基础版本,包括用户登录、注册以及文章发布的功能。由于这是一个简化版的示例,我们将所有逻辑集成在一个HTML文件中&…...
算法-字符串-76.最小覆盖子串
一、题目 二、思路解析 1.思路: 滑动窗口!!! 2.常用方法: 无 3.核心逻辑: 1.特殊情况:s或t是否为空字符串 if(snull||tnull)return ""; 2.声明一个字符数组——用于记录对应字符出现…...
Python爬虫之Selenium的应用
【1】Selenium基础介绍 1.什么是selenium? (1)Selenium是一个用于Web应用程序测试的工具。 (2)Selenium 测试直接运行在浏览器中,就像真正的用户在操作一样。 (3)支持通过各种driv…...
粉丝生产力与开源 AI 智能名片 2+1 链动模式商城小程序的融合创新与价值拓展
摘要:本文聚焦于粉丝生产力在当代文化与商业语境中的独特作用,并深入探讨其与开源 AI 智能名片 21 链动模式商城小程序的有机结合。通过剖析粉丝生产力的多元表现形式、内在驱动机制以及开源 AI 智能名片 21 链动模式商城小程序的功能特性与商业潜力&…...
红黑树(Red-Black Tree)
一、概念 红黑树(Red Black Tree)是一种自平衡的二叉搜索树,通过添加颜色信息来确保在进行插入和删除操作时,树的高度保持在对数级别,从而保证了查找、插入和删除操作的时间复杂度为 O(log n)。这种树可以很好地解决普…...
Cocos 资源加载(以Json为例)
resources 通常我们会把项目中需要动态加载的资源放在 resources 目录下,配合 resources.load 等接口动态加载。你只要传入相对 resources 的路径即可,并且路径的结尾处 不能 包含文件扩展名。 resources.load("Inf", JsonAsset, (error, ass…...
解决 IntelliJ IDEA 启动错误:插件冲突处理
引言 在使用 IntelliJ IDEA 进行开发时,我们可能会遇到各种启动错误。本文将详细介绍一种常见的错误:插件冲突,并提供解决方案。 错误背景 最近,有用户在启动 IntelliJ IDEA 时遇到了一个错误,提示信息为:…...
SQL——DQL分组聚合
分组聚合: 格式: select 聚合函数1(聚合的列),聚合函数2(聚合的列) from 表名 group by 标识列; ###若想方便分辨聚合后数据可在聚合函数前加上标识列(以标识列进行分组) 常见的聚合函数: sum(列名):求和函数 avg(列名)…...
Ripro V5日主题 v8.3 开心授权版 wordpress主题虚拟资源下载站首选主题模板
RiPro主题全新V5版本,是一个优秀且功能强大、易于管理、现代化的WordPress虚拟资源商城主题。支持首页模块化布局和WP原生小工具模块化首页可拖拽设置,让您的网站设计体验更加舒适。同时支持了高级筛选、自带会员生态系统、超全支付接口等众多功能&#…...
分布式搜索引擎之elasticsearch基本使用2
分布式搜索引擎之elasticsearch基本使用2 在分布式搜索引擎之elasticsearch基本使用1中,我们已经导入了大量数据到elasticsearch中,实现了elasticsearch的数据存储功能。但elasticsearch最擅长的还是搜索和数据分析。 所以j接下来,我们研究下…...
wordpress 4.7.2 被黑/东莞关键词优化推广
Simscape Electrical基础快捷键CtrlL 快速定位模块在库中位置;CtrlR 模块右转CtrlShiftR 模块左转空白处双击,搜索模块名/添加AnnotationSpecialized Power Systems一般需要powergui block或solver configuration;使用sum block叠加多个信号&…...
网站正能量免费下载/免费个人主页网站
1.安装setuptools2.yum install -y mysql-devel python-devel gcc否则会报错:command gcc failed with exit status 13.python setup.py install转载于:https://www.cnblogs.com/biboxie/p/4233422.html...
如何提高网站的排名/网络营销网课
展开全部网上的免费课程只能说能了解java语言。网上的免费视频一般都是入门课程,教的也比较浅。都是些皮毛,带你简62616964757a686964616fe4b893e5b19e31333433623666单了解java语言是没有问题的。其次网上的课程理论多于实操,然而java又是一…...
上海网站建设工作/站长之家域名查询官网
反射技术学习笔记 文章目录反射技术学习笔记一、反射介绍1.什么是反射2.反射的作用二、创建对象过程1.创建 Java 对象的三个阶段2.创建对象时内存结构三、获取Class对象的三种方式1.通过getClass()方法获取Class对象2.通过.class静态属性获取Class对象3.通过Class.forName(&quo…...
asp.net 网站开发教程/百度网址链接
S控制滚动条的位置window.scrollTo(x,y); 竖向滚动条置顶 window.scrollTo(0,0); 竖向滚动条置底 window.scrollTo(0,document.body.scrollHeight) JS控制TextArea滚动条自动滚动到最下部 document.getElementById(textarea).scrollTop document.getElementById(textarea).sc…...
公司 宜宾网站建设/重庆网站建设推广
目录sequence相关宏及其实现uvm_do系列宏*uvm_create与uvm_send*uvm_rand_send系列宏*start_item与finish_item*pre_do、 mid_do与post_dosequence相关宏及其实现 uvm_do系列宏 uvm_do系列宏主要有以下8个: uvm_do(SEQ_OR_ITEM) uvm_do_pri(SEQ_OR_ITEM, PRIORIT…...