在过去的几年里,数十亿人是数据违规的受害者。根据数字安全公司近期积极技术 美国今天的文章,在4月,5月和2018年6月的几个月内,7.65亿人将违约或网络攻击降落到数百万美元的损失。这比上年同期增加了47%。

违规和网络 攻击绝不会放慢速度。软件行业有一个致力的作用,而且 PCI安全标准委员会 作为PCI安全框架的一部分(软件安全标准的集合)介绍了 PCI安全软件标准和PCI安全软件生命周期(安全SLC)标准。目的是通过创建更高水平的付款软件和确保在整个软件生命周期中解决安全性来使电子付款更加安全。最初,标准影响供应商或付款申请提供商。

新标准要求组织不仅仅是“关注”他们的开源软件(OSS)使用,而且需要软件公司 不断识别和评估弱点 在软件应用程序中。这包括完整的软件供应链。具体来说,这 PCI安全软件要求和评估程序 提供了相应的评估程序和指导的要求基线。这包括会计  全部的  代码库,以及检测第三方,开源或共享组件和库中的漏洞。除了这种增强的治理外,安全SLC标准中寻址的关键安全原则包括威胁识别,漏洞检测和缓解,安全测试,变更管理,安全软件更新和利益相关方通信。

漏洞和软件构成分析解决方案是寻址的关键 安全和风险管理。选项包括启动 审计服务 要开始获得代码中的内容的图片并获得一些控制(PCI需要评估员是SSLC合格),或投资产品 FlexNet代码洞察力 这将扫描您的代码并查找可能损害您软件的漏洞,并为您和您的用户创建主要问题。

以若干目标在线上踏上正确的路径:

  1. 为软件漏洞和风险管理创建一致,可重复的过程
  2. 在整个组织中从关键利益相关者获得买入,包括高管,开发人员,工程师和法律
  3. 设定和执行修复政策
  4. 为所有申请创建一个完整的准确的材料清单,以满足整个代码基础的会计要求
  5. 开源扫描持续的最佳实践工作,无论您是兼顾审计服务还是实施集成到现有工程过程中的软件成分分析解决方案

需要测试水域?用一个 免费代码扫描仪 对于Java,Nuget和NPM开始获取代码中可能存在漏洞的图片。

资源: //blogs.flexera.com/sca/2019