全球网络安全机构5月9日发布了一份指南，为组织在采购数字产品和服务时提供安全的设计考虑。

该文件包含一系列内部和外部考虑因素，并提供了可在采购流程的每个阶段利用的示例问题。

此外，该指南还告知制造商应采取哪些步骤来调整其开发流程，以确保设计原则和实践的安全。

该指南题为“通过设计确保安全，选择安全且可验证的技术”，由澳大利亚信号局澳大利亚网络安全中心(ASD的ACSC) 与CISA、加拿大网络安全中心(CCCS)、英国国家网络安全中心(CCCS)合作制定。

NCSC-UK和新西兰国家网络安全中心（NCSC-NZ）致力于协助在采购数字产品和服务时做出安全和明智的选择。

还鼓励软件制造商纳入指南中的安全设计原则和实践。该指南强调“设计安全”是软件制造商的一种主动安全方法，可以协调整个组织的网络安全目标。

该策略涉及从一开始就考虑网络威胁，并通过有意的设计、开发、架构和安全措施来实施缓解措施。

核心价值是通过创建漏洞较少的数字产品来保护用户隐私和数据。

默认安全是指“开箱即用”的安全产品，部署时几乎不需要任何额外的安全设置或配置。

该指南针对采购和使用数字产品和服务的组织，通常称为数字产品和服务的采购组织、购买者、消费者、客户和制造商。

该指南分为两部分——外部采购考虑因素和内部采购考虑因素。

提供的外部考虑因素旨在指导组织对产品和服务做出安全且明智的采购决策。

购前和购后评估两阶段的方法有助于评估技术的基线安全性及其整个生命周期的安全维护。

相比之下，内部采购考虑因素在评估产品或服务的采购时，采购组织应该对制造商进行评估，并跨三个阶段进行内部评估：采购前、采购中和采购后。

文章原文链接:https://www.anquanke.com/post/id/296389