导图社区 NIST网络安全框架(CSF)及软件供应链安全
NIST网络安全框架概念,以及应用NIST的五个步骤,CSF的构成、软件开发生命周期SDL及软件供应商评估模型及软件供应链安全实践(SSDF)
关于DeepSeek及Qwen模型部署指南,Main content: Qwen 模型部署硬件需求, DeepSeek R1模型部署硬件需求、 常见部署方法、 推荐部署框架、 输入输出需求,总结与建议等
经营人生就好比经营一家公司,要有自己的价值观和愿景,要有持续进化的理念,持续学习,持续迭代,经营好自己的人生。
哈利波特人物关系,魔法学院同学关系,主要情节人物关系,HarryPotter经典魔法名著,人物关系图。
社区模板帮助中心,点此进入>>
NIST网络安全框架 (CSF) 软件供应链安全
框架概述
1)描述他们当前的网络安全态势;
2)描述网络安全目标状态;
3)识别和优先考虑改进的机会连续和可重复的过程;
4)评估目标状态的进展情况;
5)内部和外部利益相关者就网络安全风险进行沟通
应用 NIST的五个步骤
设定目标
创建详细的配置文件
评估当前状态
缺口分析行动计划
实现行动计划
CFS组成要素
框架核心
框架层级
框架配置
加强软件供应链安全实践 SSDF
SSDF基本原则
“安全左移”
直接或间接(如保护开发环境)涉及软件本身
SSDF实践分类
组织准备(PO)
保护软件(PS)
生产安全性良好的软件(PW)
漏洞响应(RV)
SSDF实践细节
实践
实践的简介、唯一标识符和解释等
任务
完成实践所需的一个或多个动作
实现示例
可用于实现相应实践的工具、过程或其他方法的示例
软件安全开发生命周期 SDL
SDL7个阶段
培训
针对开发团队进行安全意识与能力的培训,以确保 SDL 能有效实施并落地
针对新的安全问题与形势 持续提升团队的安全能力
需求
通过安全需求分析,定义软件产品安全实现过程中所需要的安全标准和相关要求
设计
通过分析攻击面,设计相对应的功能和策略,降低和减少不必要的安全风险
通过威胁建模,分析软 件的安全威胁,提出缓解措施
实施
按设计要求,实现对应功能和策略,以及缓解措施涉及的安全功能和策略
通过安全编码和禁用不安 全的 API,减少实施时导致的安全问题
验证
通过安全测试检测软件的安全漏洞,并全面核查攻击面
发布
建立相应的响应计划,进行最终安全检查
确认所有安全活动均完成后将最终版本发送给客户
响应
当出现安全事件与漏洞报告时,及时实施应急响应和漏洞修复
新发现的问题和安全问题模式,可用于 SDL 的持续改进过程中
软件供应商评估模型
