在过去的几年中,数十亿人成为数据泄露的受害者。根据数字安全公司Positive Technologies的最新报道 今日美国报仅在2018年4月,5月和6月,就有7.65亿人成为破坏或网络攻击的受害者,损失额达数百万美元。这比去年同期增长了47%。

违反和网络 攻击绝不会减慢速度。软件行业可以发挥作用,并且 PCI安全标准委员会 作为其PCI安全框架(软件安全标准的集合)的一部分,已经引入了 PCI安全软件标准和PCI安全软件生命周期(安全SLC)标准。目的是通过创建更高级别的支付软件安全性并确保在整个软件生命周期中解决安全问题,从而使电子支付更加安全。最初,这些标准会影响支付应用程序的供应商或提供商。

新标准要求组织不仅“关注”其开源软件(OSS)的使用,而且还要求软件公司 不断发现和评估弱点 在软件应用程序中。这包括完整的软件供应链。具体来说, PCI Secure 软件Requirements and Assessment Procedures 提供需求的基线以及相应的评估程序和指南。这包括对  整个  代码库,并检测第三方,开源或共享组件和库中的漏洞。除了这种增强的治理之外,Secure SLC Standard中解决的关键安全原则还包括威胁识别,漏洞检测和缓解,安全测试,变更管理,安全软件更新以及利益相关方通信。

Vulnerability and 软件Composition Analysis solutions are key in addressing 安全与风险管理。选项包括启动 审计服务 开始获得代码内容的图片并获得一定的控制权(PCI要求评估人员必须具备SSLC资格),或投资于以下产品 FlexNet代码见解 它将扫描您的代码并查找可能危害您的软件并为您和您的用户造成重大问题的漏洞。

牢记几个目标,为您走上正确的道路:

  1. 为软件漏洞和风险管理创建一致,可重复的过程
  2. 获得组织内关键利益相关者的支持,包括高管,开发人员,工程师和法律顾问
  3. 制定并执行补救政策
  4. 为您的所有应用程序创建完整且准确的物料清单,以满足整个代码库的会计要求
  5. 无论您是从事审计服务还是实施集成到现有工程流程中的软件组成分析解决方案,都可以使开源扫描成为一项正在进行的最佳实践工作

需要测试水域吗?用一个 免费代码扫描仪 Java,NuGet和NPM可以开始了解代码中可能存在漏洞的地方。

Source://blogs.flexera.com/