软件识别 & 可追溯性:确保信息通信技术供应链的关键

卡洛斯·C. Solari, SecureG产品开发副总裁

软件识别和可追溯性(SWID&T)对于确保信息通信技术(ICT)供应链至关重要, 尤其是考虑到软件资产在当今ICT网络以及下载龙8娱乐网址几乎所有事情中所扮演的中心角色. 因此,SWID&T控制是即将出台的TIA供应链安全质量标准SCS 9001的关键部分.

让我们仔细看看这种方法.

转移注意力是必要的

在当今的数字时代,一切都建立在软件的基础上, 以前与人相关的信任现在也与数字活动相关, 设备, 和软件. 软件管理我们的化工厂, 我们的交通系统, 我们的电网, 甚至我们的国防系统. 它负责从网络带宽分配的一切, 系统和设备的管理和控制, 和现代通信, 到处理, 机, 传输, 以及数据的存储. 随着5G和新兴物联网/工业物联网的实施, 软件在数据中的作用将继续增长, 控制, 管理, 以及用户平面——横跨系统的各个方面以及我们作为社会如何使用这些系统.

随着软件革命的持续发展, 攻击面也是如此, 我们得想办法保护它. 现在几乎所有的代码库和软件定义的网络技术(如5G和回程网络中的网络功能虚拟化(NFV))中都存在开源软件的趋势,这进一步增加了安全问题.

保护软件安全的第一步是转移焦点. 在创建软件点的部署中基本上有三个阶段(i.e.,软件和应用程序开发),聚集和集成点(i.e.,将软件实现为一个系统、设备或一件设备),以及最终用户(i.e.,也就是真正使用软件的地方). 在过去, 许多人认为安全的责任在于最终用户级别, 而防火墙等安全措施则由他们来实施, 加密, 和杀毒软件. 然而, 将责任推给最终用户并不能解决问题的根源,而且会显著增加攻击的脆弱性. 我们需要将焦点和责任转移回创建点,以最终确保安全性作为软件开发生命周期的一部分内在地设计到软件中,以及如何分发和操作.

问责制通过标准

将软件实现到他们的系统、设备和设备中的技术提供者(i.e., 聚集和集成点)控制着钱包,并最终决定他们将要购买什么软件. 如果这些公司实施SWID&并要求他们的供应商提供, 它将责任下放到供应链,下放到那些正在发展的企业, 包装, 和许可软件.

在很多例子中,这类学科已经发挥了作用. 例如,我们可以在阿拉伯联合酋长国看到这种方法的成功. 在任何政府机构推出与阿联酋相关的智能手机应用之前, 它必须经过全面的测试和验证. 责任被分配给开发软件的机构. 一旦这些组织的软件开发人员开始提交他们的应用程序,但未能满足要求, 如果他们想让自己的应用出现在应用商店中,他们就必须解决这些问题.

将责任置于创建点最好通过标准来实现——任何购买软件的实体都可以要求供应商遵循可度量和可执行的标准, 本质上是利用商业的力量. 标准还允许技术提供商确保在所有系统中预先确定安全需求,并为供应商提供一个参考点,以便知道他们需要做什么来遵守标准,同时通过遵守标准来维护供应商和供应商的声誉.

一个越来越受欢迎的关键概念是,技术(软件)开发人员负责维护软件材料清单(soms),其方式与制造公司已经完成的方式相同. 今天的软件很少从头开始构建,而是通过组合各种包含源代码的组件, 固件, api, 操作系统的功能, 中间件, 以及网络和移动应用程序. soms本质上包括粒度信息(e.g.、所有者、作者、许可证、发布号、版本等.)关于进入每一个设备或设备的每一个软件组件的起源, 允许它实现其预期的功能. 还有一些额外的资源和经验数据应该作为基于标准的方法的一部分加以利用. 例如, OWASP(开放Web应用程序安全项目)为开发人员提供指导,并定期更新前20个移动应用程序安全风险.

实现SWID&T在SCS 9001

SWID&T是SCS 9001标准的关键部分,也是SWC工作组的SWID&T团队一直在努力确定作为这个关键目标基础的过程需求和安全控制.

在最初的环境分析中,分析了多个行业的30多个现有安全标准, 的SWID&T团队发现,虽然现有的网络安全良好实践的标准包含了SWID的一些方面&可以被纳入SCS 9001的T, 在许多形式和更广泛的ICT供应链中,解决软件在其创建点上需要的安全控制存在重大漏洞.

解决差距, 团队已经确定了以下十个形成SWID属性的关键定义&在SCS 9001内部的安全控制:

  • 软件 -在软件开发方面取得保证
  • 真实性 -确认软件来自其声称的来源
  • 精度 -通过测试确定软件是否只执行其规定的功能
  • 有效性-验证软件的开发是为了和执行它的预期目的,而不是其他
  • 合法性-确定代码是从允许和授权的来源获得的, 只能通过授权方式修改, 并在许可和法律许可的目的下使用
  • 可验证的-通过第三方评估代码,限制攻击者插入代码和隐藏代码的能力
  • 出处-通过soms的概念确定与其合法性相关的软件来源和属性
  • 完整性确保在开发和测试过程中确定和消除漏洞的质量方法
  • 认证确保软件对其他资源(如远程服务器)进行身份验证, 在软件定义的网络中,哪些是必不可少的
  • 值得信赖的-结合所有10个属性,基于经验数据和与目的相关的上下文做出信任决定, time, 位置, 使用, 等.

 

Carlos Solari是SecureG产品开发副总裁, 一家致力于开发5G公共密钥基础设施的通用安全技术的公司. 卡洛斯在网络技术领域担任过几个高级管理职位, 曾在总统的执行办公室担任CIO, 乔治•布什(George W. 布什政府, 20世纪90年代,他是联邦调查局高级行政服务团队的成员,也是贝尔实验室委托撰写的《龙8娱乐网》一书的主要作者, “网络安全2.0 +世界.卡洛斯目前是TIA供应链安全工作组软件识别和跟踪团队的主席.

关于龙8娱乐网

TIA是由美国国家标准协会(ANSI)认证的自愿开发, 针对各种ICT部门的基于共识的行业标准. 关注TIA 脸谱网LinkedIn推特YouTubeTIA现在 查看最新更新.