第十章 供应商实务指南

虽然我们已经讨论了许多来自私营和公共部门组织的新兴行业指导来源,但接下来的几章将努力为供应商和消费者提供一些实用的指导。这将包括来自我们讨论的来源的指导的综合,以及基于作者专业经验的行业最佳实践和建议。
并非所有的建议、最佳实践和流程都适用于所有供应商。就像软件消费者的多样化生态系统一样,软件供应商在资源、专业知识和限制方面存在着不同的程度。根据行业、业务关系、监管要求和合同方面的情况,软件消费者和供应商之间往往存在着二分法,来达成关于何时、如何以及在什么情况下实施、提供或披露的问题。

10.1 漏洞披露和响应 PSIRT

如前所述,SSDF 呼吁各组织实施合理的实践,以帮助实现安全的软件开发。它将这些实践分为四组:组织准备、保护软件、生产安全可靠的软件和应对漏洞。这四组中的一个关键主题是组织和供应商披露和应对影响...

10.2 产品安全事件响应团队 PSIRT

另一项与 SSDF 和产品与软件供应商行业最佳实践相关的重要建议是建立产品安全事故响应小组(PSIRT)。PSIRT 类似于网络安全事件响应小组 (CSIRT),但 PSIRT 并不是面向内部的...

10.3 分享还是不分享,多少才算太多?

在推动软件透明度的过程中,软件供应商可能会发现自己会问的一件事是,他们到底需要共享什么,或者他们是否应该共享这些数据。虽然每个组织的决策过程和分析看起来都不同,但有一点是明确的,由于软件供应链攻...

10.4 版权所有,许可问题和“原样”代码

正如我们在第 5 章“软件透明度的挑战”中所讨论的,许可也是许多供应商关注的一个关键问题,特别是当它与开放源码软件及其应用的许可有关时。许多软件供应商可能关注的一种许可方法就是所谓的 Copyl...

10.5 开源项目办公室

正如我们所讨论的,各种形状、规模和行业的组织都在拥抱开源软件(OSS)。金融、医疗和制造业,甚至国家安全,现在都使用OSS来支持其最关键的应用和活动。这包括软件供应商,他们通常使用OSS作为其产...

10.6 产品团队之间的一致性

如果不能在组织的各个产品团队中一致地实施,那么推动软件透明度和提供 SBOM 和证明等工件就不可能有效。对于非常大的组织或具有全球影响力的组织来说,拥有多个产品团队的情况并不少见,其中一些团队拥...

10.7 手动工作量与自动化和准确性

供应商必须考虑的一个关键点是自动化的作用与提供给消费者的信息准确性的需求形成鲜明对比。对于大型软件公司来说,进行软件保障成为一种可扩展性的练习,尤其是那些在数百甚至数千个软件产品中部署计划非常快...

10.8 小结

在本章中,我们鼓励消费者广泛而深入地思考软件供应链安全的挑战以及 SBOM 的作用。我们解释了为什么组织需要或应该希望 SBOM 以及更广泛地说,供应商的软件透明度,以及如何使用 SBOM 并大...
Back to top