谷歌发布了一个互动问卷,公司可以用于评估其供应商的安全实践,或审查和改进自己的安全计划。
供应商安全评估问卷(VSAQ)是基于Web的应用程序,并在GitHub上的开源许可下发布。它包含谷歌本身用于审查供应商安全性的多个方面的调查问卷集合。
该应用程序具有用于Web应用程序安全性,基础架构安全性,物理和数据中心安全性以及组织的总体安全和隐私计划的模板。这些问题涵盖了供应商是否具有用于外部研究人员的流程,以报告漏洞的过程,以HTTPS实现详细信息和内部数据处理策略。
根据所提供的答案,申请将提供提示和建议,以帮助组织解决可能提出安全风险的问题。
根据Google Security Engineers Lukas Weichselbaum和Daniel Fabian,使用问卷评估的许多供应商发现了有用的提示,并且有兴趣使用应用程序本身评估自己的供应商。这参加了谷歌的决定,以便公开。
“我们希望它将帮助公司旋转,或进一步改进自己的供应商安全计划,”Weichselbaum和Fabian在博客帖子中说。“我们也希望基础问卷可以作为安全意识的公司和开发商希望提高安全姿势的自我评估工具。”
可以轻松扩展四个可用模板,以包括对每个组织的安全需求和期望量身定制的其他问题。
供应链安全性,特别是与软件有关,已成为近年来公司的严重问题。第三方代码占任何组织软件的大多数,并且根据安全供应商veracode的说法,该代码的90%不符合OWASP(Open Web应用程序安全项目)前10名的已知安全标准。
许多软件开发人员本身使用第三方组件,然后无法跟踪和导入其在其中找到的漏洞的修补程序。OWASP将易受攻击的软件组件列为广泛和难以检测的问题。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。