14项原则构建安全软件：解析英国NCSC软件安全实践准则与供应链防护

背景

本文档概述了英国国家网络安全中心 (NCSC) 牵头制定的一份自愿性软件安全实践准则。该准则的核心目标是提升组织所依赖软件的安全性及弹性，构建更稳固的软件供应链。

软件供应链攻击及中断事件频发，其根源常常是软件开发与维护过程中本可避免的缺陷。供应商与其客户之间的沟通不畅，往往又会放大此类事件的影响。为此，NCSC汇集了技术专家、行业及学术力量，并在2024年公开征求意见后，最终凝练出这份包含14项核心原则的准则。它旨在为软件供应商设立一个一致的安全与弹性基准，从而降低风险发生的可能性与影响。

这份《实践准则》适用于任何类型面向企业客户的软件。其原则被分为四大主题，并被英国政府认定为任何规模、类型或行业的组织都应合理遵循的基础且可实现的措施。一旦实施，它将代表一种强有力的软件安全与弹性实践方法，有助于巩固连接数字供应链的技术和服务基础。

它应被视为英国科学、创新与技术部发布的更广泛网络安全指南的一部分，并与其他实践准则（如《网络治理实践准则》）协同执行。受监管的组织需同时考虑其他特定技术准则，例如与人工智能网络安全相关的指南。

这份自愿性准则旨在与国际最佳实践（如美国的《安全软件开发框架》和欧盟的《网络弹性法案》）接轨，并补充现有标准，以期减轻跨境运营机构的合规负担。

受众和范围

《软件安全实践准则》规定了所有开发及/或向企业或其他组织销售软件的组织应合理采取的基本安全与弹性措施。这包括了提供独立软件、软件服务的组织，以及销售内含软件的商品或服务的组织。其适用范围主要聚焦于企业对企业商业关系中的专有软件销售与分发。

下表列举了不同类型的组织与本准则的关系及适用原则：

表 1：利益相关者群体和指导

利益相关者团体	指导
软件开发商和分销商	就本行为准则而言，任何开发和销售软件或软件服务的组织均被归类为“软件开发商和分销商”。他们应遵守本行为准则的所有原则。
这些类型的组织的示例包括但不限于：独立软件供应商；软件即服务 (SaaS) 提供商；以及具有软件组件的商品或服务的供应商（例如，开发和分销物联网的组织或某些托管服务提供商）
软件经销商	就本《行为准则》而言，销售软件但不自行开发软件的组织被归类为“软件经销商”。对于软件经销商，只有原则 3 至 4 属于经销商的责任范围。但是，经销商应尽可能鼓励其分销软件的开发者遵守本《准则》的原则。
这些类型的组织的示例可能包括但不限于：主要功能是转售软件的组织；提供商品和服务并转售软件作为本产品一部分的组织（例如某些托管服务提供商）
仅限软件开发人员	就本行为准则而言，开发软件但不参与软件销售或分销的组织被归类为“仅软件开发商”。仅对于软件开发商，原则1和原则2适用，如果原则3属于组织/个人的职责范围，则原则3也适用。
这些类型的组织的例子包括：开发内部专有软件的组织；个人软件开发者
开源开发者和维护者	就本软件安全行为准则而言，开源开发者和维护人员并非主要受众。本行为准则与专有软件的销售和分发最为相关，因为其旨在阐明软件供应商在企业对企业 (B2B) 商业关系中的责任。对于开源软件，开发者/维护人员对其后续供应链或其代码的持续维护和安全不承担任何正式承诺。任何与开源代码相关的风险都必须由最终用户或在其软件中使用开源代码的专有软件开发者自行管理。开源开发者可能会发现本行为准则的某些部分很有用，但与供应商-客户关系相关的原则可能与此类受众无关。

本准则的主要受众是软件供应商组织的高层领导，旨在确保准则措施在组织内得到优先重视与贯彻。高层领导明确责任后，可确保相关团队拥有所需资源、工具和知识来满足这些期望。

为支持负责实施的技术团队，准则附有详细的实施指南。该指南提供了如何实施原则的更具体信息，并尽可能地参考现有框架和指南。不同利益相关者与准则的互动方式如下表所示：

表 2：利益相关者及其描述

利益相关者	描述
软件供应商组织的高级领导	高层领导是本《行为准则》的主要目标受众。组织应在最高领导层任命一名高级责任负责人 (SRO)。该负责人将负责确保组织内相关团队和个人遵守《软件安全行为准则》的原则。他们不需要有深入的技术理解，但需确保遵守《行为准则》是优先事项，并确保团队拥有实施所需的资源和工具。
专家和技术团队/角色	这些职能和角色包括软件设计和开发人员、软件维护人员以及负责与业务客户沟通的人员。实施指南将为这些人员提供支持，帮助他们确定最适合其组织的实施方案。
采购软件的组织	采购软件的企业和组织可以使用本《行为准则》指导与供应商的谈判，或将其用于签订协议和合同。

保证和自我评估

英国政府将提供一份自我评估表，与本行为准则配套使用。该表可用于内部合规监控，也可与客户共享以提供安全保障。

本准则的保证方法遵循 NCSC 的“基于原则的保证”方法。该方法将准则分解为一系列保证原则和声明。这些声明构成了软件供应商进行自我评估的基础。英国政府也正在基于此流程制定认证方案。

技能

高层领导有责任确保实施准则的团队和个人具备必要的技能和资源。这包括正式资格、在职培训和相关知识的学习。除了行业培训，以下政府计划也有助于加强网络安全技能生态：

• 英国网络安全委员会：作为网络安全专业标准的首选机构，它规定了专业人员应具备的知识、技能和经验。
• NCSC认证学位课程：认可英国高等教育机构开设的达到标准的计算和网络安全课程。
• NCSC 计划于 2025 年推出修订后的学位认证标准，旨在激励在教学中融入软件安全和安全软件生命周期的相关知识，增加掌握相关技能的毕业生数量。

自愿软件安全行为准则

《软件安全实践准则》包含 14 项原则，涵盖 4 个主题。高层领导应任命一位高级责任人，负责监督组织内部遵循的原则。

1. 安全设计和开发

这些原则确保软件在提供时具有适当的安全性。供应商组织的高级责任所有者应确保其组织就所售软件实现以下目标：

1.1 遵循既定的安全开发框架。
1.2 了解软件的组成并评估整个开发生命周期中与第三方组件的引入和维护相关的风险。
1.3 在分发之前，有一个清晰的测试软件和软件更新的流程。
1.4 在软件的整个开发生命周期中遵循设计安全原则和默认安全原则。

2. 构建环境安全

这些原则确保采取适当的措施，最大限度地降低构建环境受到损害的风险，并保护软件的完整性和质量。供应商组织的高级责任所有者应确保其组织就所售软件实现以下目标：

2.1 保护构建环境防止未经授权的访问。
2.2 控制和记录构建环境的变化。

3. 安全部署和维护

这些原则确保软件在其整个生命周期内保持安全，以最大限度地减少漏洞的可能性和影响。供应商组织的高级责任所有者应确保其组织就所售软件实现以下目标：

3.1 安全地向客户分发软件。
3.2 实施并发布有效的漏洞披露流程。
3.3 制定流程和文档，用于主动检测、确定优先级并管理软件组件中的漏洞。
3.4 在适当的情况下向相关方报告漏洞。
3.5 及时向客户提供安全更新、补丁和通知。

4. 与客户沟通

这些原则确保供应商组织向客户提供足够的信息，以实现有效的风险和事件管理。供应商组织的高级责任所有者应确保其组织就所售软件实现以下目标：

4.1 向客户提供信息，指定所售软件的支持和维护级别。
4.2 当软件不再受供应商支持或维护时，至少提前1年通知客户。
4.3 向客户提供可能对客户组织造成重大影响的重大事件的信息。

关键术语表

表 3：关键术语表

学期	定义
保证、原则和索赔（APC）	APC是一份包含一整套原则和声明的文档，用于描述技术、系统、服务或流程的理想基准。APC中的声明可以通过证据来评估哪些方面符合基准，或者哪些方面可以改进。APC使用NCSC基于原则的保证页面上描述的“声明论证证据”方法，将整套原则解构为声明。APC是根据《实践准则》中列出的主题和原则创建的。其中包含的声明构成了软件生产商根据《实践准则》进行自我评估的基础。
构建环境	软件编译、构建和打包以供发布的环境。该环境应在逻辑上或物理上与代码编写和测试区域分开。
企业客户	就本行为准则而言，企业客户定义为采购软件或软件服务的任何企业或其他组织。
实施指南	实施指南支持软件供应商实现《实践准则》中的安全目标。实施指南还提供了其他可能适用的指南或框架。本指南面向负责开展工作以符合《实践准则》要求的技术团队和其他专业团队或个人。
事件	本软件安全实践准则所定义的网络事件是指未经授权访问（或试图访问）组织IT系统的行为。这些事件可能是恶意攻击（例如软件供应链攻击、恶意软件感染或勒索软件攻击），也可能是意外事件（例如由软件漏洞或更新导致中断的事件）。
生命周期	软件开发生命周期 (SDLC) 是一种用于设计、创建和维护软件（包括内置于硬件的代码）的正式或非正式方法。SDLC 有很多模型，但通常包含以下7个阶段的变体：需求收集、分析、设计、实现或编码、测试、部署以及维护/支持。
基于原则的保证（PBA）	基于原则的保证 (PBA) 是NCSC 的最佳实践保证框架。它旨在帮助客户确信他们日常使用的技术具有可接受的弹性水平。它提供了一个灵活且全面的流程和结构，使供应商能够根据一系列原则（在本例中为《实践准则》）提供证据。
默认安全	这种方法确保技术开发从一开始就嵌入安全性，并为用户带来流畅体验。安全性被视为核心基础，而非后续活动，并且默认启用最安全的配置。
安全设计	“安全设计”是指软件及包含软件的产品应以合理的方式构建，以防止恶意网络行为者成功访问设备、数据和连接的基础设施。软件供应商应进行风险评估，以识别并列举关键系统面临的常见网络威胁，并在蓝图中加入应对不断变化的网络威胁形势的保护措施。
安全开发框架	安全开发框架提供了一种结构化的方法，用于在整个软件开发生命周期中集成安全性。一个成熟的安全开发框架至少应包含以下主题：威胁建模、安全编码实践、需求捕获、治理和角色、测试策略、数据管理和配置管理。
自我评估表	英国政府提供了一份自我评估表。软件供应商可以使用此表来证明他们符合软件安全实践准则的要求。该自我评估表使用 APC 来提供结构，同时支持多种形式的证据。
高级责任业主	高级责任人是由高层领导任命的个人，负责确保组织落实《行为准则》规定的每一项行动。这包括确保相关团队拥有完成每一项行动所需的适当资源、知识和工具。
软件供应商	软件供应商是开发和销售软件或软件服务的组织。
漏洞	软件中的弱点或缺陷。攻击者可能利用这些弱点或缺陷（例如）获取对计算机系统的未经授权的访问。
漏洞披露流程	个人可以安全便捷地向组织报告漏洞的流程。该流程应以漏洞披露政策为支撑，其中详细说明了漏洞报告的内部处理方式。

总而言之，英国NCSC的这份《软件安全实践准则》为软件供应链安全提供了一个清晰、可操作的框架。对于希望深入了解具体实施细节或寻找相关技术资源的开发者和管理者，可以关注云栈社区的技术文档与安全板块，那里有更多关于安全开发、供应链防护及合规实践的深入讨论与资料分享。

1. 除了这些基本预期之外，在更敏感的行业或环境中运营或拥有更大客户群的组织可能需要更先进的措施来防范更复杂的威胁行为者。↩
2. 《网络治理行为准则》可在 www.gov.uk/government/publications/cyber-governance-code-of-practice上查阅 ↩