持久安全框架 软件供应链工作小组 2022年8月 确保软件供应链的安全：开发人员的最佳实践 2 译者简介： 开源安全研究院(gitsec.cloud)目前是独立运营的第三方研究机构，和各工具厂商属于平等合作关系，专注于软件安全相关技术及政策的研究，围绕行业发展的焦点问题以及前沿性的研究课题，结合国家及社会的实际需求以开放、合作共享的方式开展创新型和实践性的技术研究及分享。欢迎关注我们的公众号。 免责声明： 本指南版权归作者所有，本文翻译工作为公益性质的学习目的，不用于商业用途，翻译本身基于水平与目标不同，并不能与专业翻译水平相提并论，如有错漏，欢迎广大读者联系客服小李进行补充和探讨。 此外我们也有软件安全爱好者的相关社群，也可扫码添加客服小李微信拉进群哦~ 确保软件供应链的安全：开发人员的最佳实践 iii 执行摘要 网络攻击是通过网络空间进行的，其目标是企业使用的网络空间，目的是破坏、禁用、恶意 控制计算环境或基础设施；破坏数据的完整性；窃取受控信息。1 最近的网络攻击，比如针对SolarWinds及其客户的攻击，以及利用Log4j等漏洞，突出了软件供应链的弱点，这个问题，涵盖了商业和开源软件，影响了私人和政府企业。因此，越来越需要提高软件供应链的安全意识，需要认识到国家对手使用类似的战术、技术和程序(TTPs)将软件供应链武器化的可能性。 作为回应，白宫发布了一项关于改善国家网络安全的行政命令(EO14028)。EO 14028建立了新的 要求来确保联邦政府的软件供应链。这些要求除了为联邦政府购买软件的客户外，还涉及对软件 供应商和开发人员的系统审查、流程改进和安全标准。 同样的，持久安全框架2(ESF)软件供应链工作小组建立了此指导方针，以作为开发人员、供应商和客户利益相关者的建议实践的概要，以确保一个更安全的软件供应链。本系列分为三部分：第一部分关注软件开发人员；第二部分关注软件供应商；第三部分关注软件客户，本指南为第一部分。 客户（购买方）可以将此指南作为描述、评估和度量与软件生命周期相关的安全实践的基础。此外，本文列出的建议实践可以应用于软件供应链的收购、部署和操作阶段。 软件供应商（供应商）负责建立客户和软件开发人员之间的联系。因此，供应商的职责包括通 过合同协议、软件发布和更新、通知和减少漏洞来确保软件的完整性和安全性。本指南包含推荐的最佳做法和标准，以帮助供应商完成这些任务。 本文件将提供符合行业最佳实践和原则的指导，我们强烈建议软件开发人员参考。这些原则包括安全需求规划、从安全的角度设计软件体系结构、添加安全特性，以及维护软件和底层基础设施的安全性（例如，环境、源代码审查、测试）。 1 国家安全系统委员会 (CNSS) 2 ESF是一个跨部门的工作组，在关键基础设施伙伴关系咨询委员会(Critical Infrastructure Partnership Advisory Council – ‘CIPAC’)的支持下运作，以应对美国国家安全系统的安全和稳定所面临的威胁和风险。它由来自美国政府的专家以及信息技术、通信和国防工业基地部门的代表组成。ESF负责将来自私营部门和公共部门的代表聚集在一起，致力于应对情报驱动的网络安全挑战。 确保软件供应链的安全：开发人员的最佳实践 4 免责声明 免责声明背书 本文件仅供一般参考之用。它适用于各种事实情况和行业利益相关者，本文所提供的信息具有咨询性的性质。本文件中的指导意见由“现状”提供。一旦发布，其中的信息可能不构成最新的指导或技术信息。因此，该文件不构成、也不打算构成合规或法律建议。读者应与各自的顾问和主题专家进行协商，以根据其个人情况获得咨询意见。在任何情况下，美国政府均不对因使用或依赖本指南而产生的任何损害负责。 本指南以商号、商标、制造商或其他方式提及任何特定的商业产品、工艺或服务，并不构成或暗 示其对美国政府的背书、推荐或支持，本指南不得用于广告或产品背书目的。所有商标均为其各 自所有者的财产。 目的 美国国家安全局、ODNI和CISA开发该文件是为了促进其各自的网络安全任务，包括其制定和发布网络安全建议和缓解措施的责任。这些信息可以被广泛地共享，以达到所有适当的利益相关者。 联系方式 客户要求/查询： Enduring Security Framework nsaesf@cyber.nsa.gov 媒体查询/新闻台 • NSA Media Relations, 443-634-0721, MediaRelations@nsa.gov • CISA Media Relations, 703-235-2010, CISAMedia@cisa.dhs.gov • ODNI Media Relations, dni-media@dni.gov 确保软件供应链的安全：开发人员的最佳实践 iii 目录 执行摘要 .......................................................................................................................................................................................ii 1 介绍 ...................................................................................................................................................................................... 1 1.1 背景 ............................................................................................................................................................................ 1 1.2 文件概述 .................................................................................................................................................................. 2 2 开发人员 ............................................................................................................................................................................ 3 2.1 安全产品标准和管理 ...........................................................................................................................................4 2.2 开发安全代码 ....................................................................................................................................................... 11 内部人员对源代码的修改或利用 ....................................................................................................... 12 开源管理实践 .............................................................................................................................................. 19 安全开发实践 .............................................................................................................................................. 20 代码集成 ........................................................................................................................................................ 22 客户报告的缺陷/漏洞问题 ................................................................................................................... 22 外部开发扩展 .............................................................................................................................................. 23 2.3 验证第三方组件 .................................................................................................................................................. 24 第三方二进制文件 .................................................................................................................................... 24 选择和集成 ................................................................................................................................................... 25 从知名和可信的供应商处获得组件 .................................................................................................. 25 组件维护 ..............................................................................................................................