产品安全计划
概述
在产品开发过程中,安全问题可能是事后才会考虑的问题,这样的时代早已一去不复返了。技术专家和领导者都明白,安全问题需要从产品创建过程的一开始就加以考虑,并在整个产品生命周期中加以解决。
MiR 实施了一项产品安全计划,确保从产品构思、开发和测试到交付给客户的每一步都考虑到安全问题。不仅如此,产品在客户现场安全运行多年直至安全退役的整个过程中都要确保安全。
这些是 MiR 产品安全计划的部分内容,但远非全部:
安全开发
开发包括产品生命周期的多个阶段:从概念阶段到新产品或产品版本的发布。这是产品生命周期中最复杂的部分:在这一阶段,要开展工程活动,将想法变为现实。
在 MiR,我们采取多种措施,确保始终如一地提供高度安全的产品,满足客户对安全运行企业网络和工业自动化系统的需求。其中最突出的包括
遵循 IEC 62443 工业自动化和控制系统安全标准
将威胁建模作为每个产品和功能设计的一部分
遵循安全设计原则
遵循安全编码准则
进行广泛的自动安全扫描和测试
进行外部渗透测试
风险管理
所有安全发现,无论其来源如何,都要经过严格的风险管理流程。我们会全面评估与发现相关的客户风险,并采取适当的风险应对措施。
安全改进是大多数 MiR 软件版本的一部分,如果需要立即采取行动,我们会立即与客户联系,并尽快发布安全补丁。
补丁策略
MiR 的所有产品都遵循正规的安全补丁策略,因此补丁程序具有可重复性、高效性和有效性。
发布补丁的触发因素有多种。其中一个触发因素是新发现的第三方依赖程序中的漏洞。作为供应链安全控制的一部分,我们会积极监控所有依赖产品的漏洞,并在发现问题后立即进行处理。