本文件主要著重於最佳做法,可協助您在軟體供應鏈的程序和系統間保護軟體。此外,這份指南也提供相關資訊,說明如何實作Google Cloud上的一些做法。
保護軟體時,還需要考慮軟體生命週期,或是支援軟體供應鏈安全性的基礎開發做法。例如:
- 控管系統的實體和遠端存取權。
- 導入稽核、監控和意見回饋機制,以便快速找出並因應威脅和違規行為。
- 程式設計基礎實務,包括設計、輸入驗證、輸出至不受信任的系統、資料處理、程式碼分析和密碼編譯。
- 除了本文件提及的內容,基礎開發運作做法還包括技術方法、團隊程序和組織文化。
遵守軟體授權條款,包括直接和轉換依附元件的開放原始碼授權。
部分開放原始碼授權的授權條款限制較多,可能導致商業軟體出現問題。具體來說,部分授權要求您根據與重複使用的開放原始碼軟體相同的授權,發布原始碼。如要確保原始碼的私密性,請務必瞭解所用開放原始碼軟體的授權條款。
為員工提供訓練,提升網路安全意識。 根據 2021 年網路安全狀態第 2 部分 (針對資訊安全專業人員進行的調查),社交工程是最常發生的攻擊類型。問卷調查受訪者也表示,網路安全訓練和意識提升計畫對員工意識有正面影響 (46%) 或強烈正面影響 (32%)。
請參閱下列各節的資源,進一步瞭解這些主題。
安全性開啟 Google Cloud
瞭解如何設定機構架構、驗證與授權、資源階層、網路、記錄、偵測用控管功能等項目,請參閱Google Cloud 企業基礎藍圖,這是Google Cloud 安全性最佳做法中心的其中一個指南。
您可以使用下列 Google Cloud 服務,集中查看有關安全漏洞和可能風險的資訊:
- 透過 Security Command Center 查看整個 Google Cloud機構的安全漏洞和威脅資訊。
- 透過 Recommender 取得服務用量資訊,包括有助於降低風險的建議。舉例來說,您可以找出權限過多的 IAM 主體,或是無人管理的 Google Cloud 專案。
如要進一步瞭解 Google Cloud的安全性,請參閱 Google Cloud 網站的「安全性」一節。
開發運作和軟體開發做法
請參閱開發運作能力說明文件,進一步瞭解有助於加快軟體推送速度,以及提升軟體可靠性和安全性的開發運作做法。
此外,設計、開發及測試程式碼的基本做法也適用於所有程式設計語言。此外,您也必須評估在所有依附元件中,軟體發布方式和軟體授權條款。Linux 基金會提供下列主題的免費線上訓練課程:
- 開發安全軟體:軟體供應鏈安全性的基礎軟體開發實務。本課程著重於設計、開發及測試程式碼的最佳做法,但也會涵蓋處理安全漏洞揭露、保證案例,以及軟體發布和部署考量等主題。這項訓練課程由開放原始碼安全基金會 (OpenSSF) 製作。
- 開發人員適用的開放原始碼授權基本概念 瞭解開放原始碼專案的授權和著作權。
- 開放原始碼授權法規遵循管理簡介 瞭解如何為貴機構建立開放原始碼法規遵循計畫。
制定政策
逐步導入最佳做法時,請記錄貴機構的政策,並將政策驗證納入開發、建構及部署程序。舉例來說,貴公司的政策可能包含部署條件,您可透過二進位授權實作這些條件。
- 最小可行性安全產品:這份安全檢查清單列出各項控制措施,可做為產品安全防護措施的基準。您可以使用檢查清單建立最低安全控制措施規定,並評估第三方供應商的軟體。
- NIST「資訊系統和機構的安全性與隱私權控管」出版品 (SP 800-53)。