第八章 现有和新兴政府指南
在本章中,我们将讨论政府和公共部门组织针对软件供应链安全的现有和新兴出版物。这些出版物建立在我们在上一章中讨论的现有商业指南的基础上,并考虑了国防部 (DoD)、美国联邦民事行政部门 (FCEB) 机构和国家安全局 (NSA) 等机构的一些独特要求。
8.1 系统和组织的网络安全供应链风险管理实践
2020年初,美国国家标准与技术研究院(NIST)首次发布了特别出版物(SP) 800-161,“系统和组织的网络安全供应链风险管理(C-SCRM)实践”。然而,与本书中讨论的许多其他资源一样,...
8.2 软件验证
NIST 网络行政命令第 4 部分指南的另一个关键组成部分是发布指南,为供应商测试其源代码推荐最低标准。它包括手动和自动测试,例如代码审查工具、静态应用程序安全测试 (SAST)、动态应用程序安...
8.3 NIST 的安全软件开发框架
正如本书的几个部分所讨论的那样,网络安全行政命令 (EO) 14028 对零信任、云计算以及软件供应链安全等领域产生了广泛影响。作为网络安全行政命令的一部分,政府必须“只购买安全开发的软件”。行...