当前位置:主页 > 数据安全 >

ddos防御攻击_免备案高防空间_如何防

时间:2021-06-11 02:06来源:E度网络 作者:E度网络 点击:

ddos防御攻击_免备案高防空间_如何防

开发人员越来越被要求更快地创建更多的代码。随着开发速度的提高,从头开始创建每个应用程序变得不太可行。反过来,对第三方应用程序和代码的依赖也在增加。但这条"捷径"伴随着风险。第三方应用程序和开放源代码组件经常包含漏洞,使组织面临违规风险,并且越来越多地面临监管罚款。随着第三方应用程序和代码的违规行为激增,监管机构正在注意到这一点。下面是一个关于第三方软件的现行法规的样本,这肯定只是一个开始。关注开源组件安全性的法规有几种行业法规和安全框架要求您发现并修补应用程序中的已知漏洞,包括:PCI DSS 6.1/PA-DSS 7.1:要求建立一个过程来识别安全漏洞,使用信誉良好的外部来源获取安全漏洞信息,并为新发现的安全漏洞分配风险等级(例如"高"、"中"或"低")。金融服务信息共享与分析中心(FS-ISAC):在其指南"第三方服务和产品提供商的适当软件安全控制类型"中,该工作组建议金融服务成员公司采用三种控制类型。控制3是"开放源代码库和组件消费的政策管理和执行"。此外,它还建议提供一份材料清单,明确指出作为商业开发的软件包的一部分,向金融服务公司提供的开源代码库。该组织表示,"相信金融机构成员公司需要三种控制类型中的每一种来实现第三方软件安全。"NIST 800-53联邦信息系统和组织的安全和隐私控制(SA-12,供应链保护)NIST 800-161联邦信息系统和组织的供应链风险管理实践(CM-8,信息系统组件清单)HITRUST CSF v8(技术漏洞控制):HITRUST CSF旨在"解决医疗机构面临的众多安全、隐私和监管挑战。"OWASP 10大合规性(参考PCI委员会、NIST、HIPAA、SOX、FTC、ISO 27k、DoD等提出的合规性标准):要求组织维护第三方组件和库的清单,并监控该清单中的已知安全漏洞。将考虑第三方应用程序安全性的法规还有一些行业法规和安全框架要求您评估所购买应用程序的安全性。这些规定包括:NIST特别出版物800-161:"信息和通信技术供应链风险评估应整合到整个组织的整个企业风险评估过程中。"PCI 3.2,Requirement 6.3扩展了安全软件开发授权,如何设置防御cc,包括所有定制的、第三方开发的软件。货币监理署:要求银行有效管理与使用第三方有关的风险。FS-ISAC:Control2建议使用二进制静态分析来评估第三方软件产品。新加坡金融管理局(MAS):第5节要求对IT外包风险进行管理。本节指出,服务提供商应实施至少与自身操作一样严格的安全策略、过程和控制。欧盟通用数据保护条例(GDPR)第26条:该条规定,ddos防御服务g一月6元,在选择数据处理器(外部供应商)时,"控制者应选择一个提供充分保证的处理器,以实施适当的技术和组织措施和程序,以使处理满足本法规的要求监管并确保数据主体的权利得到保护。"纽约DFS网络安全条例第500.11节第三方信息安全政策:本节包括"每个适用实体应执行书面政策和程序,以确保信息系统和可访问或由其持有的非公开信息的安全,游戏服务器防御cc,第三方服务提供商。此类政策和程序应以适用实体的风险评估为基础,并应在适用范围内予以解决。"HITRUST CSF控制10.a,第2级概述了"安全和隐私控制要求的规范应包括将自动控制纳入信息系统……用于存储和/或处理所涵盖信息的商业产品应在实施。(不适用于操作系统软件)。"Veracode的帮助Veracode软件组合分析(SCA)可帮助您构建开源组件的清单并识别漏洞。Veracode应用程序安全平台可以在一次扫描中分析专有代码和开放源代码,ddos攻击手段防御,使您能够在整个应用程序环境中看到这些代码。当一个大漏洞出现在新闻中时,Veracode可以帮助您快速识别组织中哪些应用程序易受攻击。Veracode供应商应用程序安全测试(VAST)提供了一个可伸缩的程序来管理第三方软件风险。因为Veracode扫描的是二进制文件而不是源代码,供应商将更容易接受评估,因为他们不必披露自己的知识产权。使用Veracode,您可以在不增加专业人员的情况下扩展您的计划,并在单个平台上管理整个计划。了解更多信息在我们的新的第三方软件安全工具包中,华为DDOS攻击防御,获取有关我们的SCA和大量解决方案的详细信息,以及关于在一个地方管理第三方软件的所有最佳提示和建议。

推荐文章
最近更新