近日，包括谷歌、Salesforce、Slack和OKta等在內的科技公司聯合發布了“最小可行安全產品”（Minimum Viable Secure Product，簡稱MVSP）清單，它是一個中立性的安全基線要求，包含了面向B2B軟件和業務流程外包供應商的最低安全要求。

　　事實上，在諸如涉及SolarWinds和Kaseya的攻擊事件后，企業已經越來越意識到第三方工具和服務正淪為攻擊者的重要途徑，也愈發關注自身所用的第三方工具和流程的安全性。因此，“最小可行安全產品”概念的誕生可算正當時！

　　誕生背景

　　在此之前，許多組織習慣使用供應商安全審查問卷來確定供應商軟件安全的強度，谷歌在2016年也曾發布了自己的開源供應商安全評估問卷。雖然這些調查問卷確實能夠提供一些幫助，但它們往往冗長、復雜且耗時。如此一來，即便在項目中發現嚴重的阻礙因素，也通常來不及進行更改，因此，這些問卷對項目提案（RFP）和早期審查基本無效。

　　此外，有些企業也建立了自己的（有時是隨意的）安全措施清單。這讓供應商格外頭疼，因為他們不得不遵守潛在的、數千種不同要求。而且，在這些情況下，很可能會出現錯誤，從而產生新的攻擊向量。

　　后來，最小安全基線的概念逐漸演變為“最小可行安全產品”，它是Salesforce和Google核心工程師率先提出的概念。之后，這種想法開始擴展到其他科技公司，并融合這些公司的經驗教訓和建議，不斷發展完善。

　　最小可行安全產品（MVSP）概念

　　最小可行安全產品（MVSP）是一個廠商中立的安全基線，列出了確保實現合理安全狀況，必須采取的最低安全要求，涵蓋業務控制、應用程序設計控制、應用實施與操作控制四個方面。具體而言，包括企業客戶針對應用的安全性測試，系統的年度滲透測試、特殊的密碼測試、利用加密保護敏感數據與靜態數據、培訓開發人員防御特殊漏洞，建立授權訪問企業網站數據的三方名單等，都可作為最小可行安全產品的內容。

　　MVSP的控制集可以應用于供應商生命周期的所有階段，從供應商選擇到評估，再到合同控制，均能發揮作用。該列表旨在通過將數以千計的要求濃縮為易于使用的格式，在整個過程中提供更大的清晰度，并簡化供應商審查流程，從而消除采購供應商安全評估過程中的復雜性與繁瑣度，縮短整體周期。

　　MVSP應用指南

　　最小可行安全產品的應用案例并不是單一和局限的。任何組織都可以在他們認為適當的時候使用它，并根據自身需求調整清單。

　　例如，安全團隊可以使用它預先傳達工具和服務的最低要求，以便其他人知道他們的立場，并傳達明確的期望；采購團隊可以使用該列表來收集有關供應商服務的信息；法律團隊也可以在協商合同控制時使用MVSP作為基準。

　　此外，提供B2B應用程序或服務的公司也可以使用MVSP來衡量自身產品的成熟度，并確定關鍵差距，在開發新產品時，注意到這一點可能會大有幫助。

　　MVSP“檢查框”為供應鏈中供應商的安全實踐提供了高級別的保證，但它并不是組織應該使用的唯一工具。想要實現最大程度的安全性，仍然需要每個組織制定針對其企業、行業、市場等的強大網絡安全戰略——一個基礎夯實的安全戰略，例如，針對訪問企業網絡的員工實施多因素身份驗證，并加大安全投資以領先于攻擊者。

　　MVSP只是一個起點

　　MVSP是一個開源安全標準，由一個工作組進行維護，該工作組目前包括來自Google、Salesforce、Okta和Slack的成員，并有望在未來幾個月內進一步實現擴展。MVSP成員計劃隨著時間的推移定期審查和更新MVSP的控制措施，并希望在完成審查過程后，每年都能發布主要版本。

　　MVSP的未來版本將審查當前控制措施的演變過程，并旨在改進系統安全性。該團隊認為，隨著企業組織開始在其流程中采用MVSP，長期來看，它將有助于提高整體行業安全性。

　　不過，目前的基準并不一定能適應未來的威脅場景，安全專業人員必須不斷創新，才能確保在新型威脅到來前做好準備。