数字安全观察每周简报【技术趋势篇】2022.08.31-2022.09.06

阅读量36749

发布时间 : 2022-09-15 11:00:27

NSA等联合发布《面向开发人员的软件供应链安全》实践指南。202291日,美国国家安全局、网络安全和基础设施安全局和国家情报总监办公室联合发布《面向开发人员的软件供应链安全》实践指南,以应对国家关键基础设施面临的高优先威胁。指南认为开发人员对软件的安全负有重要责任,并建议重点从软件开发生命周期的角度保护软件供应链安全。指南中的建议源自行业最佳实践,强烈建议软件开发人员参考。

(来源:infosecurity-magazine,bleepingcomputerdefense

【天枢点评】:三个涉及网络空间安全的主要主管和业务部门联袂重磅推出实践指南,足见其对问题的重视,其建议也具有广泛的行业实践代表性,在一定程度上缓解软件开发过程中安全问题。根据通告,接下来还要发布针对软件供应商和用户的另外两份指南,从而形成基于软件生命周期的完整的供应链风险管理指南,建议持续关注。另外,开源安全基金会(OpenSSF)同日发布的npm(“Node 包管理器”)最佳实践指南与上述指南遥相呼应,从保护软件存储库的角度为软件供应链安全提供源自最佳实践中的保护建议。这也说明,安全社区与安全监管部门在软件供应链安全保护方面在不断磨合中逐步达成战略性一致。

NCSC发布《机器学习的安全原则》指南。2022831日,英国国家网络安全中心(NCSC)推出《机器学习(ML)的安全原则》指南,为开发、部署或操作具有ML组件的系统的人提供帮助。指南开发的背景源于几个问题:不能真正理解ML产品逻辑、无法对全面测试、使用后用户会影响其逻辑及含有敏感的训练数据格式等,但指南并不提供类似检查表这样的“操作手册”,只是提供了一些原则,帮助评估系统面临的威胁,做出明智的决策。

(来源:英国国家网络安全中心

【天枢点评】:人工智能很重要,人工智能安全更不容易。人工智能与机器学习(AI/ML)已成为应用广泛性、赋能性、基础性的技术,但与其他数字技术不同的是,除了数字技术本身由于软件实现带来的传统安全风险外,AI/ML还有自身特殊性的安全风险,这也是在应用不断深入基础上,需要治理的重点问题。指南即是针对上文提到的几个背景问题,给出了一些实践性原则,以便帮助评估和决策。

 

 

 * 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库

本文由360天枢智库原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/279750

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360天枢智库
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66