文章探讨了企业在自研产品安全表现优异的情况下,如何有效管理外购软件的安全性问题。提出了从上线前安全测试、交付时的安全检查,到立项阶段的安全要求等一系列成熟的做法。强调了安全管理正从关注产品安全结果,逐步转向对供应商整个安全建设过程和能力的评估,要求供应商提供内部流程体系及机制证明其安全能力。这标志着企业对第三方软件安全管理正朝着更主动、更深入的方向发展。
🛡️ **上线前安全测试与供应商协同**:企业对外购业务系统进行严格的安全测试,并将发现的漏洞及时同步给供应商。在某些情况下,供应商甚至会向企业索要修复这些漏洞所耗费的人力天数费用,这体现了双方在安全问题上的紧密合作与责任共担。
📦 **交付时安全检查与门槛设定**:作为安全左移的关键一步,要求供应商在交付产品时提交详尽的安全报告,包括但不限于安全测试报告、代码审计报告、开源组件清单以及对外开放端口矩阵。采购方的安全团队将对这些材料进行审核,并将审核结论作为产品是否符合上线安全测试的必要门槛,未达标者将无法上线。
🚀 **立项时安全要求与主动介入**:文章指出,将安全要求融入产品采购的源头至关重要。在业务部门向采购部门提交需求时,应包含安全方面的明确要求,例如赋予安全团队在技术评标中的话语权,要求供应商具备一定的安全资质,并对后续发现的漏洞设定明确的响应时效和费用说明。
📈 **安全管理趋势:从结果到过程与能力**:当前行业大趋势是将供应商产品的安全管理,从单纯关注最终安全结果,扩展到对其安全建设过程和自身安全能力的评估。企业不仅要求提供产品安全相关的材料,还需供应商展示其内部执行结果的流程体系及机制,例如是否设有专门的产品安全团队,以及是否拥有成熟的安全测试工具链等。
aerfa21 2025-09-26 06:07 浙江
对于自研产品安全做得好的公司,外购软件的安全性成为木桶中最短的板,通常会要求供应商做安全测试,并且已经有了比较成熟的做法:
1、上线前安全测试:指针对外购的业务系统进行安全测试,把发现的漏洞同步给供应商,甚至还会被供应商索要修复漏洞所消耗的人天费用;
2、交付时安全检查:属于安全左移的第一步,要求供应商提交所售产品的安全测试报告、代码审计报告、开源组件清单、对外开放端口矩阵等,供采购方安全团队审核,并把检查结论做为上线前是否符合安全测试的门槛,不符合就不做安全测试、就不能上线;
3、立项时安全要求:上面的内容还是有点被动,源头在业务部门提交需求给采购部门时,应该把安全相关的要求放进去,比如安全要有技术评标权利、供应商具备一定的安全资质、后续发现漏洞需要设置响应时效、说明费用等。
目前国内已经有一个大趋势:针对供应商产品的安全,已经从结果扩展到过程、供应商自身的安全建设能力。除了要求供应商提供产品安全相关的材料,还要求提供执行结果的内部流程体系及机制,比如是否建立了专门的产品安全团队、是否有安全测试工具链等。
------------更多内容,请访问-------------
1、SDL 100问
SDL100问:我与SDL的故事
SAST误报太高,如何解决?
SDL需要哪些人参与?
大家都有哪些SDL运营指标?
开发安全左移和右移,哪一个更好?
SDL 97/100问:关于白盒测试,应该知道哪些正确观念?
2、SDL创新实践
首发!“ 研发安全运营 ” 架构研究与实践
DevSecOps实施关键:研发安全团队
DevSecOps实施关键:研发安全流程
DevSecOps实施关键:研发安全规范
DevSecOps实施关键:研发安全工具
数字化转型下研发安全痛点
一个思考:安全测试驱动产品安全?
3、SDL最初实践
【SDL最初实践】开篇
【SDL最初实践】安全培训
【SDL最初实践】安全需求
【SDL最初实践】安全设计
【SDL最初实践】安全开发
【SDL最初实践】安全测试
【SDL最初实践】安全审核
【SDL最初实践】安全响应
4、安全运营实践
基于实践的安全事件简述
安全事件运营SOP:钓鱼邮件
安全事件运营SOP:网络攻击
安全事件运营SOP:蜜罐告警
安全事件运营SOP:webshell事件
安全事件运营SOP:接收漏洞事件
跳转微信打开
