2024-07-13 - 解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(中篇)

继续解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》[1](以下主要简称为“标准”或“GB/T 43698”)。

中篇聚焦在标准中的第7章,即需方安全要求,同时解读附录A、附录B和附录C。

未读过上篇的读者点这里:

解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(上篇)

article banner

笔者:国际认证信息系统审计师、软考系统分析师、软件工程硕士

鉴于 GB/T 43698 复杂性较高,如有认为笔者理解不到位或者遗漏了关键要点的,欢迎电邮指出。

软件需方主要是软件的用户,一般意义上的“甲方”。虽然软件需方也包括同为软件供方的软件开发商,但很显然用户会比开发商多得多,所以对软件需方的安全要求,影响面远比软件供方要大。

附录A 软件供应链安全概述

在解读第7章之前,先解读在第5章开头引出的附录A 软件供应链安全概述,包含了软件供应链模型软件供应链实体角色软件供应链安全构成的关系和定义。

......点击查看详细内容

最新发表
解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(上篇)2024-07-06 解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(上篇)计划分开上中下三篇解读已经发布即将实施的国家标准 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》。
从攻防演练想到的:如果信息系统原生就有网络安全功能2024-06-28 从攻防演练想到的:如果信息系统原生就有网络安全功能本篇属于专业领域的随想,部分源自自己过往的软件工程过程实践,其它则是网络安全与信息系统如何相互支撑实现的想法。
攻防演练在即:我自己的密码够强吗?2024-06-23 攻防演练在即:我自己的密码够强吗?密码强度这个概念是无论普通用户抑或系统管理员,都应该花点时间了解和自行安排检查,但哪个工具较好?
攻防演练在即:如何高效全面地排查信息系统用户状态和弱密码2024-06-16 攻防演练在即:如何高效全面地排查信息系统用户状态和弱密码回归写写专业内容。接下来的7、8月,已经成了传统的攻防演练月,所以网络安全这个细分领域无论甲方乙方都是没有暑假的。
家用或小型办公室无线路由器网络安全检查清单2024-06-12 家用或小型办公室无线路由器网络安全检查清单关于无线路由器的安全问题已经写了好几篇文章,不过有人说,你这样写还是显得太专业了,对于不懂行的人来说不好使用......所以这次就干脆编排了一份面向家用或小型办公室(以下简称SOHO)无线路由器网络安全的检查清单,方便读者可以直接对照检查。
话音刚落,Windows “回顾”功能的数据提取工具“全面回忆”已经有了2024-06-09 话音刚落,Windows “回顾”功能的数据提取工具“全面回忆”已经有了果然所有的安全研究人员都不会放过微软这个完全没有经过深思熟虑就匆忙推出的“回顾”(Recall)功能。查询提取数据的 POC 程序已经有人做了。
周末补漏洞:PHP CGI Windows平台远程代码执行漏洞 CVE-2024-45772024-06-08 周末补漏洞:PHP CGI Windows平台远程代码执行漏洞 CVE-2024-4577总有些事情让你周末忙个不停......昨天爆出的PHP 漏洞:CVE-2024-4577,漏洞评分高达 9.8。
ClamAV 1.4.0 即将发布以及什么是模糊图像哈希2024-06-07 ClamAV 1.4.0 即将发布以及什么是模糊图像哈希不仅要及时更新自己部署的 ClamAV,还要知道如何节省运行资源,避免出现问题。
国产化替代:资源有限的甲方如何选择操作系统?2024-06-02 国产化替代:资源有限的甲方如何选择操作系统?操作系统是信息技术软件环境的基石,对于信息系统是硬件之上的第一层。正确选择对自己合适的服务器操作系统是信息系统建设过程的第一关。
微软 AI PC 的新功能“回顾”一定是个大坑2024-05-28 微软 AI PC 的新功能“回顾”一定是个大坑微软 Windows 11 AI PC 搭载了一项创新的“回顾”(RECALL)功能,可以让电脑记住用户所有的操作交互,笔者的第一反应和建议是:关了它。
信息化项目甲方避坑指东之三2024-05-19 信息化项目甲方避坑指东之三预算有了,接下来要设计建设方案,信息化项目内部矛盾真正产生的源头往往在这个阶段。那么这个过程的避坑要点是怎样的呢?
数据分类分级不是皇帝的新衣,是甲方信息化部门的尚方宝剑2024-05-15 数据分类分级不是皇帝的新衣,是甲方信息化部门的尚方宝剑可能是公众号涨粉越来越难,最近看到越来越多的公众号文章已经不是标题党了,是天马行空创造观点搏眼球。
OSV-SCANNER新功能:扫描归集软件包的开源许可证2024-05-11 OSV-SCANNER新功能:扫描归集软件包的开源许可证OSV-SCANNER是笔者一直在关注和使用的开源代码漏洞扫描工具。最近它新引入了许可证扫描归集功能,可以对项目依赖的软件包归集统计和列出软件包所使用的许可证的类型和数量。这对于有大量依赖的软件项目来说是极大的便利。
简析美国土安全部发布关于缓解AI对关键设施风险的安全指引2024-05-07 简析美国土安全部发布关于缓解AI对关键设施风险的安全指引越来越多的在野记录证明攻击方正在全面利用AI辅助发起网络攻击。美国土安全部公开发布了对关键基础设施拥有者和运营者如何缓解 AI 风险的安全指引。对于有打算实现 AI 技术落地的甲方,无论是否关键基础设施,都有必要对此给予关注和观察。
关于WaveCN.com2024-05-01 关于WaveCN.com关于本人在专业领域的情况,以及 WaveCN.com 网站的定位和内容在过去二十年间的变化。
微信订阅号二维码
更多内容
  •  2024-04-22 信息化项目甲方避坑指东之二
  •  2024-04-15 有什么蛛丝马迹可以判断系统存在SQL注入漏洞,且如何临时应对?
  •  2024-04-08 应用网络安全加固基准:CIS Benchmarks 2024年3月及之前的更新
  •  2024-04-04 观察开源安全基金会制订中的软件包存储库安全框架
  •  2024-03-26 信息化项目甲方避坑指东之一
  •  2024-03-19 电影《沙丘》中的零信任和风险管理(剧透)
  •  2024-03-13 黑客对 Ubiquiti EdgeOS 路由器的入侵卷土重来
  •  2024-03-05 点评软件供应链安全框架 in-toto 的审计结果
  •  2024-03-02 网络运维及安全基础:MAC地址安全管理之二