2022年CISP教材知識(shí)點(diǎn)整理：軟件供應(yīng)鏈安全

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

10.5知識(shí)子域：軟件安全交付

10.5.1 軟件供應(yīng)鏈安全

1.軟件供應(yīng)鏈安全的概念

不同于自身的安全漏洞，供應(yīng)鏈安全問(wèn)題來(lái)自外部的惡意代碼對(duì)軟件代碼的污染

這些安全問(wèn)題設(shè)計(jì)軟件的代碼編寫(xiě)、代碼編譯、軟件分發(fā)、軟件更新等各個(gè)環(huán)節(jié)

（1）代碼編寫(xiě)

針對(duì)共享庫(kù)進(jìn)行攻擊，攻擊者能將惡意代碼植入這些共享庫(kù)中，從而隨著軟件的發(fā)布進(jìn)入最終的用戶計(jì)算環(huán)境中

（2）代碼編譯

實(shí)施編譯的軟件如果被攻擊者植入了惡意代碼

（3）軟件分發(fā)及更新

攻擊者入侵了軟件開(kāi)發(fā)商的系統(tǒng)，在發(fā)布/更新的軟件中嵌入惡意代碼，利用用戶對(duì)軟件開(kāi)發(fā)商的信任進(jìn)入用戶的系統(tǒng)中，從而給用戶帶來(lái)安全風(fēng)險(xiǎn)

2.軟件供應(yīng)鏈安全應(yīng)對(duì)措施

針對(duì)供應(yīng)鏈安全問(wèn)題的根源采取措施才是有效解決之道

（1）代碼編寫(xiě)安全

（2）代碼編譯安全

（3）軟件發(fā)布及更新安全

注：以上內(nèi)容來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除