某全球领先的电子设备制造商,作为防务、美国国土安全及医疗设备等领域的先进电子系统供应商,为满足美国总统令14028条第4e项的网络安全要求,利用Wind River的解决方案优化其软件开发生命周期(SDLC),确保符合Secure Software Development Framework(SSDF)标准。客户面临的主要挑战包括:满足严格的美国政府网络安全标准、最小化系统构建投资、在不过度投入网络安全人员的情况下确保合规。
客户通过Wind River的“安全评估与SSDF差距分析”服务,由专家团队对其SDLC进行全面评估,识别出与SSDF任务要求不符的差距,并提出详细的修复方案。该评估对于客户至关重要,因为根据美国行政管理和预算局(OMB)的备忘录M-22-18,相关企业需在2022年中期至2023年初提交网络安全基础设施安全局(CISA)的共通表格,证明其符合NIST发布的SSDF实践。
Wind River建议采用“自动化及集中化的DevSecOps管道”,具体措施包括:通过Infrastructure-as-Code和Configuration-as-Code实现自动化,建立通用管道;为所有管道添加自动安全检查功能;在所有管道中部署并强制使用应用安全测试工具(SAST、SCA、DAST等);将安全要求纳入软件配置管理。客户还计划未来迁移至Wind River Studio Developer,以高效实施修复方案。
通过Wind River的服务,客户明确了DevSecOps团队的现有能力与需求,制定了合理的资源分配方案,大幅提升了业务效率。最终,客户成功快速调整SDLC以满足政府的安全标准,并确保未来自证工作的低成本、高可靠性。Wind River Studio的功能(如管道管理、工作流自动化、数字反馈循环等)与修复方案高度契合,助力客户高效实施改进措施。
研究结论表明,利用Wind River的解决方案,企业能够有效应对SSDF合规挑战,降低成本,加速开发进程,并开拓更多依赖NIST SSDF标准的事业机会。
