⑴ 全球软件供应链安全指南和法规
全球软件供应链安全指南和法规的制定旨在提升软件供应商和用户抵御软件供应链攻击的能力。供应链安全的持续关注,源于多次重大攻击事件的影响,如SolarWinds、Log4j、Microsoft和Okta等,这些事件波及了头部软件供应商以及广泛使用的开源软件组件,凸显了全球性的安全挑战。
各国政府正通过制定法规和要求,以降低软件供应链攻击的风险。这包括安全设计、安全软件开发、软件责任和自我证明以及第三方认证等方面。这些举措旨在帮助减轻软件供应链攻击对国家和政府的风险。
以美国为例,其行政命令和相关备忘录强调了提升软件供应链安全的重要性,并推动了具体要求的实施。例如,管理预算办公室发布了关于软件供应链安全的备忘录,要求软件供应商自我证明遵循了安全软件开发实践,如NIST的安全软件开发框架(SSDF)。此外,食品和药物管理局(FDA)在《联邦食品、药品和化妆品法案》中提出了医疗器械的网络安全要求,强调了SBOM的重要性,并特别关注了开源软件组件在医疗设备中的作用。
NIST的安全软件开发框架(SSDF)在讨论软件供应链安全时被广泛应用,该框架结合了多个现有的安全软件开发框架,以交叉引用生产安全软件应遵循的最佳实践。美国国家网络战略也强调了软件责任的重要性,呼吁重新平衡网络空间的责任,将关注点从消费者转移到软件供应商。
欧盟的《网络弹性法案》为涉及数字符素的产品供应商和开发商制定了共同的网络安全规则和要求,强调将网络安全作为设计和开发的关键因素。此外,《人工智能法案》确保了可信人工智能系统的开发和使用条件,对高风险系统生产商提出了严格的风险管理和治理要求。
加拿大通过《改变网络安全风险平衡:设计和默认安全的原则和方法》等文件,强调了软件供应链攻击作为关键问题的意识。澳大利亚发布了《软件开发指南》,关注软件开发生命周期和环境的多种安全控制,并引用了SBOM的用例,同时参与了国际“四方网络安全伙伴关系:安全软件联合原则”。
尽管各国推动本国的软件安全议程,但全球范围内的合作也在进行,如“四方网络安全伙伴关系”文件的发布,旨在政府政策和供应商软件采购中采用安全软件开发实践。这与NIST的SSDF的四个阶段相一致,强调了要求软件生产商自我证明和必要时要求第三方认证的重要性。
⑵ 中车青岛四方机车车辆股份有限公司网络工程师干什么
维护日常网络安全管理,预防网络安全隐患,及时处理网络问题。中车青岛四方机车车辆股份有限公司网络工程师是维护日常网络安全管理,预防网络安全隐患,及时处理网络问题,待遇薪资是非常高的,每个月都会有奖金的。