⑴ 全球軟體供應鏈安全指南和法規
全球軟體供應鏈安全指南和法規的制定旨在提升軟體供應商和用戶抵禦軟體供應鏈攻擊的能力。供應鏈安全的持續關注,源於多次重大攻擊事件的影響,如SolarWinds、Log4j、Microsoft和Okta等,這些事件波及了頭部軟體供應商以及廣泛使用的開源軟體組件,凸顯了全球性的安全挑戰。
各國政府正通過制定法規和要求,以降低軟體供應鏈攻擊的風險。這包括安全設計、安全軟體開發、軟體責任和自我證明以及第三方認證等方面。這些舉措旨在幫助減輕軟體供應鏈攻擊對國家和政府的風險。
以美國為例,其行政命令和相關備忘錄強調了提升軟體供應鏈安全的重要性,並推動了具體要求的實施。例如,管理預算辦公室發布了關於軟體供應鏈安全的備忘錄,要求軟體供應商自我證明遵循了安全軟體開發實踐,如NIST的安全軟體開發框架(SSDF)。此外,食品和葯物管理局(FDA)在《聯邦食品、葯品和化妝品法案》中提出了醫療器械的網路安全要求,強調了SBOM的重要性,並特別關注了開源軟體組件在醫療設備中的作用。
NIST的安全軟體開發框架(SSDF)在討論軟體供應鏈安全時被廣泛應用,該框架結合了多個現有的安全軟體開發框架,以交叉引用生產安全軟體應遵循的最佳實踐。美國國家網路戰略也強調了軟體責任的重要性,呼籲重新平衡網路空間的責任,將關注點從消費者轉移到軟體供應商。
歐盟的《網路彈性法案》為涉及數字元素的產品供應商和開發商制定了共同的網路安全規則和要求,強調將網路安全作為設計和開發的關鍵因素。此外,《人工智慧法案》確保了可信人工智慧系統的開發和使用條件,對高風險系統生產商提出了嚴格的風險管理和治理要求。
加拿大通過《改變網路安全風險平衡:設計和默認安全的原則和方法》等文件,強調了軟體供應鏈攻擊作為關鍵問題的意識。澳大利亞發布了《軟體開發指南》,關注軟體開發生命周期和環境的多種安全控制,並引用了SBOM的用例,同時參與了國際「四方網路安全夥伴關系:安全軟體聯合原則」。
盡管各國推動本國的軟體安全議程,但全球范圍內的合作也在進行,如「四方網路安全夥伴關系」文件的發布,旨在政府政策和供應商軟體采購中採用安全軟體開發實踐。這與NIST的SSDF的四個階段相一致,強調了要求軟體生產商自我證明和必要時要求第三方認證的重要性。
⑵ 中車青島四方機車車輛股份有限公司網路工程師干什麼
維護日常網路安全管理,預防網路安全隱患,及時處理網路問題。中車青島四方機車車輛股份有限公司網路工程師是維護日常網路安全管理,預防網路安全隱患,及時處理網路問題,待遇薪資是非常高的,每個月都會有獎金的。