谷歌等联合推出最小可行安全产品 (MVSP),列出供应链供方应满足的最低安全要求
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Opus and Ponemon 研究所调查的一项研究显示,59%的企业经历过由某个供应商或第三方而引发的数据泄露事件。将业务外包给第三方供应商虽然节省了金钱提高了运营效率,但可能会造成重大安全风险。这些供应商能够访问关键系统和客户数据,因此其安全状况也同样重要。
此前,规模不等的组织机构不得不实现与其风险态势相关的供应商安全基准。遗憾的是,这样做对于供应商和组织机构而言是无法实现的,因为他们不得不适应数千种不同的要求。
为解决这一问题,业内组织机构联合设计了最小可行安全产品 (MVSP)。它是一种供应商中立的安全基准,旨在通过设立可接收的最低安全基准来消除在采购、RFP 和供应商安全评估流程中的管理、复杂度以及混淆问题。通过MVSP,行业可以提高每个阶段中的清晰度,以便供需双方能够实现各自的目标,并减少长达数周或数月之久的管理和销售周期。
MVSP 由业内企业开发并支持,如谷歌、Salesforce、Okta、Slack 等等不一而足。它的目标是在简化审计流程的同时提高业内的最低安全门槛。
MVSP 是一种协作基准,重在为B2B 软件和业务流程外包 (BPO) 供应商建立一系列最低安全要求。以简约为出发点,MVSP 仅包含必须执行的最低的控制,以确保一种合理的安全态势。MVSP 以最低基准清单的形式展现,可用于验证解决方案的安全态势。
(1) 安全团队对照最低安全基准评估供应商服务。
MVSP 确保供应商筛选和RFP 包含由行业支持的最低基准。前期沟通最低安全要求确保所有人了解自己的定位以及预期的清晰度。
(2) 内部团队通过最低安全要求评估自己的安全状况。
MVSP 提供了一系列最低安全基准,可用于理解产品或服务的安全差距,通过清晰明确的利益,提高改进机会并增强组织机构内部的可见性。
(3) 采购团队收集供应商服务信息。
MVSP 提供了公开可获得的以及受行业支持的安全相关问题。基准可使供应商了解得更加清晰,从而促成更迅速更准确的响应。
(4)法律团队谈判合约控制。
MVSP 确保先行了解关于最低安全控制的预期,在合同谈判阶段减少关于控制的讨论。引用外部基准有助于简化合约语言并增强对安全要求的熟悉度。
(5) 合规团队记录流程。
MVSP 为企业构建自身的合规努力提供了外部认可且采用的安全基准。
1、业务控制 | |
控制 | 描述 |
1.1 漏洞报告 |
|
1.2 客户测试 |
|
1.3 自我评估 | 每年通过本文档(至少)开展一次安全自评 |
1.4外部测试 | 通过合同安全供应商每年对系统开展一次综合渗透测试 |
1.5 培训 | 为您的员工实施与其业务职能相关的基于角色的安全培训 |
1.6 合规 |
|
1.7 事件处理 |
|
1.8 数据清理 | 确保执行基于 NIST SP 800-88 或等价标准的媒介清理流程 |
2、 应用设计控制 | |
控制 | 描述 |
2.1 单点登录 | 使用现代和行业标准协议执行单点登录 |
2.2 HTTPS-only |
(本条不适用于旨在未加密链接如OCSP上运行的安全协议) 使用广泛是以哦那个的 TLS 扫描工具生成清晰扫描
|
2.3 内容安全策略 | 设立最低许可内容安全策略 |
2.4 密码策略 | 如除了单点登录外还使用了密码验证,则:
|
2.5 安全库 | 使用框架、模板语言或库,通过逃逸输出和清理输入的方式,系统地解决实现弱点(如数据访问用ORM,渲染DOM用UI框架) |
2.6 依赖修复 | 为中危或更高等级的漏洞打补丁,或确保在补丁发布的一个月内,为应用栈的所有组件发布同等缓解措施 |
2.7 日志记录 | 记录如下日志:
日志中必须包含用户ID、IP地址、有效时间戳、所执行的操作类型以及操作的对象。日志必须至少存储30天期限,且不应包含敏感数据或payload。 |
2.8 备份和容灾 |
|
2.9 加密 | 使用可用加密手段保护在系统之间传输的敏感数据以及在网络数据存储和备份中的闲置敏感数据 |
3、应用实现控制 | |
控制 | 描述 |
3.1 数据清单 | 维护应用程序将要处理的敏感数据类型清单 |
3.2 数据流图表 | 维护更新图标,说明敏感数据如何触及系统以及最后的存储位置 |
3.3 漏洞预防 | 培训开发人员并执行开发指南,阻止至少如下漏洞:
|
3.4 修复漏洞的时间 | 在发现漏洞的90天内生成并部署补丁,解决产生重大安全影响的应用漏洞 |
4、 运营控制 | |
控制 | 描述 |
4.1 物理访问 | 通过确保部署如下控制验证相关设施的物理安全:
|
4.2 逻辑访问 |
|
4.3 子处理器 |
|
11个恶意python包被指窃取 Discord 令牌、安装shell
对话奇安信代码安全丨十年砥砺前行 迎来软件供应链安全的风口
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
https://security.googleblog.com/2021/10/launching-collaborative-minimum.html
https://mvsp.dev/mvsp.en/index.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。