精心设计,成就安全
安全是 Sophos 一切工作的核心。所有开发团队都遵循 Sophos 安全开发生命周期 (SSDLC),这是一系列活动和角色,可确保所有解决方案都能够安全高效地构建。
- 我们借助开放式软件保证成熟度模型 (OpenSAMM),持续度量和改进安全产品开发的各个方面。
- 我们使用最先进的应用程序安全测试工具,这是产品开发和发布流程的组成部分。
- 代码扫描和模糊工具在部署之前分析代码。
- 我们妥善跟踪和管理第三方组件的使用情况,以确保及时解决任何漏洞。
- Sophos 安全团队与开发团队紧密合作,确保我们的解决方案防范内外部安全威胁。
所有开发工作都在相互支持、相互信任的环境中进行。我们将构建系统(包括 CI/CD 管道)视为成熟产品,并通过适当的端到端密钥管理来确保数字签名兼具高价值和完整性。我们的团队赋能应对环境、服务或产品设计,以及产品实作中的各种漏洞或弱点。
SSDLC融入至可信的环境中
我们始终坚持以为客户提供安全的产品和服务为宗旨。Sophos 安全开发生命周期 (SSDLC)为所有产品开发活动树立清晰的框架。我们将安全要求融入到产品管理流程中,并努力打造值得信赖的安全环境。这样,我们便能够快速有效地应对各种漏洞。
安全监管链
软件物料清单 (SBOM)
作为 SSDLC 流程的一部分,我们会在我们众多产品代码库中收集并维护所有开源组件和第三方组件的软件物料清单。这让我们对我们产品中包含的第三方补充组件的新出现漏洞所引致的潜在影响分流,并加以识别。借助 SBOM,我们还可以向客户提供信心保证,我们的产品只包含最新且没有漏洞的组件。
对于特定产品,Sophos 可以应要求提供 SBOM 副本。要了解更多详细信息,请发送电子邮件至 sbom@sophos.com 与我们联系。