第三方组件库管理
软件系统的开发往往会用到大量的开源组件,软件开发组织需要完善流程、加强安全管控,减小第三方组件库的潜在安全风险。“第三方组件库管理”描述了软件开发组织管控开源组件的能力。
第三方组件库管理
- 建立并使用内部完整定义的第三方组件库
开发软件不可避免地要使用大量第三方组件,第三方组件的选择、下载、安装和更新等各环节对软件系统的安全性都可能产生重要影响。软件开发组织需要安排专门的治理团队按照正式的流程建立、更新和维护内部的第三方组件库。组件库应能满足所有产品线的开发需求,如果组件缺失,可以通过正式流程申请、批准和新增组件。软件开发组织应该管控各个开发团队的组件使用,使得开发只能从内部组件库下载和使用第三方组件,禁止通过互联网下载或者私自拷贝等方式引入第三方组件。软件开发组织应该定期对第三方组件库进行安全扫描,对于发现的安全隐患能及时整改。
S-SDLC CMM 模型现已发布,点击立即下载获取最新模型!
