在当今网络安全风险日益加剧的背景下,风河致力于向客户、行业和监管机构提供符合标准的产品、服务和合作伙伴关系。我们提供全套可用的集成和运营系统,支持从云端到边缘的智能系统的安全性,努力满足行业安全标准、框架和法规的要求。我们将信任文化视为公司的核心价值,并在日常业务中自然体现。
安全开发生命周期
风河支持产品中的安全开发生命周期 (SDL),通过政策强制实施,并以标准、流程和程序实现。安全开发生命周期 (SDL)完全遵循 NIST 800-218 标准及其原则:准备组织、保护软件、生产安全性良好的软件以及应对漏洞。
图 1. 安全软件开发框架 (SSDF)
SDL 与我们的产品开发生命周期 (PDLC) 紧密集成,并在整个企业中部署,定期进行评估,以确保符合性并向客户保证我们产品的可信性。
准备组织
风河支持一个覆盖产品范围的安全治理组织,具体包括:
- 根据我们的信息安全标准强化和维护开发环境、工具和端点
- 为实现产品的安全成果而设立的安全冠军和安全培训计划
- 与行业标准一致的稳健政策框架,并通过内部标准、流程和程序加以实施
- 对第三方组件的评估和安全管理,与我们 SDL 中的本地开发组件标准一致
保护软件
风河对开发环境实施最小权限授权管理,确保只有需要访问的人才能访问环境、代码、工件和工具,并保证正确的访问级别。开发、测试和发布代码的来源数据和完整性检查得到保存、保护,并随发布版本传达给客户。
根据我们的 OpenChain 认证流程,风河在正式发布 (GA) 中提供开源组件的软件物料清单 (SBOM),包含软件包数据交换 (SPDX) 数据。我们还与客户合作,为其解决方案提供可选的 SBOM 功能。
生产高安全性软件
风河从与其签署安全协议的供应商处获取软件组件,并从符合行业标准的存储库获取开源软件。这些第三方软件组件以及内部开发的软件都要接受完整的 SDL 流程,以确保所有组件的安全性。这些受信任的组件被纳入标准化和受信任的存储库中,并被授权用于工具、开发、测试和发布管道中。
使用 STRIDE、OWASP Threat Dragon 或 ATASM 进行持续的威胁建模,以识别架构弱点,并系统性地优先处理与我们整体需求管理流程密切相关的软件功能。
软件由我们的安全架构师和安全冠军进行独立审查,他们检查设计、安全编码标准和风险处理结果。此外,他们还为我们的产品建立安全基线,并以稳健的软件编译、配置和安全加固指南的形式传达给客户。
在整个软件管道中,软件会接受安全用例、静态分析、动态分析、漏洞扫描、渗透测试和模糊测试的严格测试,并按照标准问题管理和产品验收标准严格管理问题及其解决方案。
应对漏洞
风河产品安全事件响应团队 (PSIRT) 与客户、监管机构、安全社区和我们的产品安全办公室合作,为 SDL 的政策和标准提供支持,赋能开发团队和安全联络人 ,通过流程和程序及时识别并解决受支持产品的安全问题,与FIRST.org PSIRT 服务框架以及 ISO/IEC 30111 和 29147 标准标准对齐。
风河根据产品支持协议,为其支持的产品提供漏洞解决方案和通知,包括通过安全公告和安全中心维护的全面漏洞数据库。
注意: 漏洞修复服务等级是根据适用的产品许可证以及支持和维护协议提供的。
安全开发生命周期
风河向客户提供安全软件开发一致性声明,以支持其符合 SSDF 的要求。这些声明为客户提供供应链和组件的保障,支持其在多个 SDL 标准和行业中的特定集成、合规和认证,包括:
- ISA/IEC 62443(运营技术)
- ISO/SAE 21434、UNECE WP.29 R155 和 ISO 24089(车辆网络安全)
- IEC 81001-5-1(医疗保健)
- PCI-SSLC(支付卡)
- O-RAN 安全要求规范(电信)
- CIS – 控制 16(航空航天与国防)
- NIST 网络安全框架 (CSF)(通用和政府)
- ISO 20243(可信技术提供商)
- OWASP SAMM、BSIM(通用 SDL 成熟度)
除了我们的标准产品,风河还提供丰富的安全服务,以满足您的行业特定需求。
