2022年CISP教材知識點整理：軟件供應(yīng)鏈安全

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

10.5知識子域：軟件安全交付

10.5.1 軟件供應(yīng)鏈安全

1.軟件供應(yīng)鏈安全的概念

不同于自身的安全漏洞，供應(yīng)鏈安全問題來自外部的惡意代碼對軟件代碼的污染

這些安全問題設(shè)計軟件的代碼編寫、代碼編譯、軟件分發(fā)、軟件更新等各個環(huán)節(jié)

（1）代碼編寫

針對共享庫進行攻擊，攻擊者能將惡意代碼植入這些共享庫中，從而隨著軟件的發(fā)布進入最終的用戶計算環(huán)境中

（2）代碼編譯

實施編譯的軟件如果被攻擊者植入了惡意代碼

（3）軟件分發(fā)及更新

攻擊者入侵了軟件開發(fā)商的系統(tǒng)，在發(fā)布/更新的軟件中嵌入惡意代碼，利用用戶對軟件開發(fā)商的信任進入用戶的系統(tǒng)中，從而給用戶帶來安全風(fēng)險

2.軟件供應(yīng)鏈安全應(yīng)對措施

針對供應(yīng)鏈安全問題的根源采取措施才是有效解決之道

（1）代碼編寫安全

（2）代碼編譯安全

（3）軟件發(fā)布及更新安全

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除