首页 > 其他分享 >安全建设管理-(五)外包软件开发

安全建设管理-(五)外包软件开发

时间:2022-11-18 10:27:57浏览次数:39  
标签:软件开发 恶意代码 单位 安全 建设 开发 软件 源代码

安全建设管理

 控制点

5.外包软件开发

外包软件开发指一个机构将软件项目中的全部或部分工作发包给提供外包服务的第三方来完成。在将软件外包给第三方开发时应签订协议,以明确知识产权的归属、有关软件的配套技术培训和服务的承诺、软件质量保证及其他安全方面的具体要求等。

a)

安全要求(重要):应在软件交付前检测其中可能存在的恶意代码。

要求解读:同自行软件开发一样,外包软件在交付前同样需要进行恶意代码检测,以保证软件的安全性。可要求外包方进行检测,也可以由机构内部自行检测。

测评方法

1.访谈系统建设负责人,了解是否已进行恶意代码检测。

2.核查是否有恶意代码检测报告。

期望结果

有恶意代码检测报告。

b)

安全要求(一般):应保证开发单位提供软件设计文档和使用指南。

要求解读:软件开发完成之后,应要求外包开发单位提供软件设计的相关文档和使用指南。

测评方法

1.访谈系统建设负责人,了解是否有软件设计的相关文档和使用指南。

2.核查外包单位是否提供了软件生命周期中的所有文档。

期望结果

有软件开发的相关文档,例如需求分析说明书、软件设计说明书等。

c)

安全要求(关键):应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。

要求解读:后门和隐蔽信道的审查可通过专业的测试进行,若开发单位无法提供该类报告,则只需提供书面材料保证软件源代码中不存在后门和隐蔽信道。

软件中的后门,可能是设计者利用开发应用系统这一时机故意设置的(以监视计算机系统),也可能是考虑不周而留下的(例如漏洞)。可以通过人工或采取专业工具(如FortifySCA、Cheekmarx等)等方式进行源代码审查,发现软件中可能存在的后门。

测评方法

1.访谈系统建设负责人,了解外包开发单位是否已提供软件的源代码。

2.核查外包单位是否已提供源代码的安全检查报告。

3.核查软件源代码及其审查记录。

期望结果

1.外包开发单位已提供软件的源代码。

2.软件测试报告的内容涵盖对后门和隐蔽信道的测试。

高风险判定

满足以下任一条件即可判定为高风险:(三级及以上系统)

1.涉及国民生计的核心业务系统,被测单位未对开发单位开发的系统进行源代码安全审查;

2.开发单位未提供任何第三方机构提供的安全性检测证明。

补偿因素:

1.定级对象建成时间较长,虽未进行源代码安全审查,但定期进行安全检测,并能够提供安全检测报告,且当前管理制度中明确规定外包开发代码审计,可根据实际措施效果,酌情判定风险等级。

2.对于被测单位通过合同等方式与开发单位明确安全责任并采取相关措施手段进行防控的情况,可从已采取的技术防范措施等角度进行综合风险分析,根据分析结果,酌情判定风险等级。

3.对于部分模块外包开发的情况,可从外包开发模块的用途,重要性等角度进行综合风险分析,根据分析结果酌情判定风险等级。

标签:软件开发,恶意代码,单位,安全,建设,开发,软件,源代码
From: https://www.cnblogs.com/quqibinggan/p/16902307.html

相关文章

  • 安全建设管理-(四)自行软件开发
    安全建设管理 控制点4.自行软件开发为保证软件开发过程的安全性和规范性,应制定软件开发方面的管理制度,以规定开发过程的控制方法、明确人员行为准则。对整个开发过程,以......
  • 安全建设管理-(三)产品采购和使用
    安全建设管理 控制点3.产品采购和使用产品采购管理是指对等级保护对象软硬件产品采购过程的管理,包括安全产品、网络产品、服务器、应用和系统软件、密码产品等。a)安......
  • 安全建设管理-(六)工程实施
    安全建设管理控制点6.工程实施工程实施安全管理是指对机房建设、系统集成或网络改造建设等工程项目实施过程的安全管理。针对系统中的各类工程(机房建设、网络建设等),应明......
  • 安全建设管理-(七)测试验收
    安全建设管理 控制点7.测试验收测试验收管理主要是指对机房建设、系统集成、网络改造中的外包工程项目的测试验收进行管理,需明确测试验收的操作步骤、人员要求等。a)......
  • 安全建设管理-(九)等级测评
    安全建设管理 控制点9.等级测评测评机构应依据国家网络安全等级保护制度,按照有关管理规范和技术规范,对未涉及国家秘密的等级保护对象的安全等级保护状况进行检测和评估......
  • 安全建设管理-(八)系统交付
    安全建设管理 控制点8.系统交付系统交付管理是指对机房建设、系统集成、网络改造中的外包工程项目的系统交付的管理,明确了交付工作的各个环节(各类工程、系统相关文档交......
  • 安全建设管理-(十)服务供应商选择
    安全建设管理 控制点10.服务供应商选择服务供应商可能包括产品提供商、系统集成商、系统咨询商、安全监理商、安全评估测评方等提供各类系统服务的第三方机构。a)安......
  • WEB安全基础
    0x001HTML简介什么是HTML?HTML是用来描述网页的一种语言。HTML指的是超文本标记语言:HyperTextMarkupLanguageHTML不是一种编程语言,而是一种标记语言标记语......
  • WEB安全DIV+CSS基础
    0x001DIV+CSS介绍层叠样式表(英文全称:CascadingStyleSheets)是一种用来表现HTML(标准通用标记语言的一个应用)或XML(标准通用标记语言的一个子集)等文件样式的计算机......
  • Nginx实现安全认证Basic Auth
    转载:https://blog.csdn.net/rhnxbdbdh/article/details/120114313一、介绍1.什么是BasicAuth?2.就是在访问的时候,需要弹出一个登录框来输入用户账号和密码,验证正......