政府逐步适应安全标准以保护软件开发

关键要点

• 政府正在逐步采纳软件开发和IT供应链的安全标准
• 目的是增强机构对抗对手的能力
• 取得了一定进展，但仍面临挑战

近年来，政府在保护其机构免受对手攻击方面，逐步采取了更加严格的软件开发和IT供应链安全标准。从软件物料清单（SBOMs）到渗透测试，这些措施的实施意在提高整体安全性。然而，这一进程的深入程度还有待观察。SC媒体的JillAitoro与Mitre公司的高级首席工程师Bob Martin以及Veracode的共同创始人兼首席技术官ChrisWysopal进行了深入交谈，讨论了目前所取得的进展以及依然存在的障碍。

渗透测试与安全标准

渗透测试是检验系统安全性的重要手段，它通过模拟黑客攻击，帮助机构发现潜在的弱点。治理机构正在学习如何将这一过程整合至软件开发生命周期中，以便尽早发现并修复漏洞。

未来的方向

尽管已经取得了一些积极的成果，但在加密、合规性和持续监控方面，政府仍面临着许多挑战。BobMartin强调，通过持续更新和教育，机构可以加强软件安全的管理，而Chris Wysopal则指出，技术的快速发展意味着必须随时应对新出现的威胁。

“我们必须认识到，安全并不是一个一次性的任务，而是一个持续的过程，”Chris表示。

总的来说，政府在软件开发安全标准方面的努力虽有进展，但要实现全面有效的安全保障仍需克服不少障碍。从建立透明的安全标准到实施渗透测试，保护IT供应链的任务仍然任重而道远。