端對端的 Windows 11 供應鏈相當複雜。 它從整個開發流程延伸到晶片、韌體、驅動程式、作業系統,以及其他組織的應用程式、製造及安全更新等元件。 Microsoft 在 Windows 11 供應鏈安全以及功能與元件的安全上投入大量資源。 2021年,美國發布行政命令,強化國家的網路安全。 這項行政命令,加上 SolarWinds 和 WannaCry 等多起攻擊事件,提升了確保供應鏈安全的重要性與緊迫性。
Microsoft 要求 Windows 11 供應鏈遵守包括以下控制措施:
- 身份管理與使用者存取控制
- 存取控制項
- 最小特權原則
- 基於角色的存取控制 (基於角色的存取控制)
- 職責分離
- 藝術碩士
- 帳戶管理
- 實體存取控制
- 資訊安全
- 資訊處理
- 密碼編譯
- 漏洞掃描
- 加密
- 完整性與證明
- 機密性
- 作戰控制
- 回購所有權代碼
- 設定 & 變更管理
- 資產所有權
- 製造標準
- 安全監控 & 事件記錄
- 網路
- Host
- 應用程式
- 服務
- DevOps
- 製造安全
- 實體安全監控
- 供應商安全控管
- 供應商安全與隱私保證 (SSPA)
- 供應商篩選
- 供應商庫存
- 後勤安全管制
- 接球
- 寄送
- 倉庫 & 倉儲
- 物流管理
軟體材料清單 (SBOM)
在 Windows 生態系統中,確保軟體元件的完整性與真實性至關重要。 為此,我們使用軟體物料清單 (SBOMs) 與 COSE (CBOR 物件簽署與加密,) 簽署所有證據。 SBOMs 提供完整的軟體元件清單,包括其相依性及相關元資料。 透明度對於漏洞管理及遵守安全標準至關重要。
COSE 簽署過程透過提供加密簽章,驗證 SBOM 內容的完整性與真實性,提升 SBOM 的可信度。 CoseSignTool 是一款平台無關的命令列應用程式,用於套用並驗證這些數位簽章。 此工具確保所有 SBOM 及其他建置證據均已簽署與驗證,維持軟體供應鏈中的高度安全性。
透過整合SBOMs與COSE簽署證據,我們讓利害關係人能清楚了解所使用的元件,確保所有軟體產物皆可信且安全。 此方法符合我們對端到端供應鏈安全的承諾,提供穩健的框架來管理與驗證 Windows 生態系統中的軟體元件。
了解更多
Windows 軟體開發套件 (SDK)
Windows 提供多種 SDK 協助開發者建立安全且可靠的應用程式。
Windows SDK 提供一套統一的 API 與工具,用於開發 Windows 的安全桌面應用程式。 開發者可透過 Windows SDK 設計高度安全的應用程式,並利用最新的 Windows 11 防護措施。 為了協助開發最新且受保護的應用程式,SDK 遵循與核心 Windows 作業系統相同的安全標準、規範與合規性。
Windows SDK 隨 Visual Studio 附帶,或者你也可以從 Windows SDK 下載最新的 Windows SDK。
了解更多
Windows App SDK
Windows App SDK 是一組新的開發者元件與工具,代表了 Windows 應用程式開發平台的下一階段演進。 Windows App SDK 提供一套統一的 API 與工具,支援結束後,任何桌面應用程式都能在 Windows 11 及 Windows 10 裝置上以一致方式使用,這些裝置皆已註冊於 ES) U 匯報 (延伸安全。 .
了解更多
VBS Enclave SDK
隔區用於建立受信任的執行環境。 飛區是應用程式位址空間內一個隔離的程式碼與資料區域。 只有在 enclave 內執行的程式碼才能存取同一 enclave 內的資料。 VBS enclave 工具是一個位於 GitHub 的開源倉庫,提供一套 API 與工具,幫助開發者建立使用 enclave 的應用程式。
了解更多