NIST SP 800-218 – ما هو هذا الإطار وكيفية استخدامه

جميع المشاركات

باراك برودو

يمثل NIST SP 800-218 لحظة فاصلة لكل مؤسسة تقدم خدمات البرمجيات والبرمجيات لحكومة الولايات المتحدة. وبموجب هذه الإرشادات، يتعين على الموردين تنفيذ ممارسات تطوير البرمجيات الآمنة طوال دورة حياة تطوير البرمجيات (SDLC)، بهدف تقليل الثغرات الأمنية والتدخلات الضارة. 

القسم 4 من الأمر التنفيذي الأمريكي رقم 14028, تحسين الأمن السيبراني للأمة يكلف المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) بتحديد المعايير والأدوات والممارسات اللازمة لتأمين سلسلة توريد البرمجيات ووضع مبادئ توجيهية للقيام بذلك بناءً على مدخلات من القطاعين العام والخاص.

يعزز إطار تطوير البرمجيات الآمنة (SSDF) الخاص بـ NIST الشفافية وإجراءات مقاومة التلاعب لتقليل مخاطر التدخل الضار والتعرض لنقاط الضعف في دورة حياة تطوير البرمجيات. ومن وجهة نظرنا، فهي في المقام الأول:

  • التحقق من صحة القطع الأثرية وسلامة البيانات
  • توقيع التحف البرمجية رقميا
  • جمع الأدلة لجميع التغييرات الهامة خلال دورة حياة البرنامج 
  • التحقق من المصدر من كل مكون في قطعة أثرية البرمجيات

يعتبر خبراء الأمن أن تتبع جميع الملفات من التحكم المصدر خلال الإنشاء، والتحقق من عدم وجود تغيير غير مقصود من خلال مقارنة قيم تجزئة الملف، وتتبع الملفات الجديدة وسلامة الأدوات الموجودة في سلسلة الأدوات، كلها مفيدة في تقليل مخاطر البرامج الضارة التدخل في المنتجات البرمجية. تعمل هذه الأدوات جنبًا إلى جنب مع جمع الأدلة في كل خطوة من خطوات العملية الخاصة بك والتوقيع على تلك الأدلة، مما يجعلها شهادة غير قابلة للتغيير. 

يتمثل جوهر هذه الإرشادات في اعتماد منهج قائم على المخاطر يحدد سبل التخفيف من التهديدات خلال دورة حياة تطوير برنامج معين. يمكنك تحديد إرشادات الأمان الخاصة بك وفقًا لتقييمات المخاطر الخاصة بك ثم تطبيق هذه القواعد باستمرار الكل أجزاء من العمليات الخاصة بك.

ومن المؤكد أنه ليس من السابق لأوانه اتخاذ خطوات لتحسين وضعك الأمني ​​من أجل تسهيل الامتثال لهذه التغييرات التنظيمية. وعلاوة على ذلك، التحضير مقدما لتنفيذ NIST ليرة 800-218 سيسمح لك بتحديد الإجراءات التي يجب عليك القيام بها بشكل أكثر شمولاً وراحة وتأثيرها على موظفيك وعملياتك.

قد لا تتيح لك هذه الإجراءات الالتزام بسهولة أكبر باللوائح الجديدة فحسب، بل يمكنها أيضًا تحسين الوضع الأمني ​​لمنتجك بشكل كبير وتعزيز السمعة التجارية لشركتك اليوم وفي المستقبل.

لمعرفة المزيد حول اللوائح المتغيرة وما هي التدابير الأمنية المحددة التي نقوم بها أقترح عليك أن تبدأ، تحقق من موقعنا الكامل ورقة بيضاء عن SSDF.

يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.

الوظائف ذات الصلة

صورة لأمن التطبيق
ما هو ASPM؟®

مع التعقيد المتزايد للتطبيقات وانتشار التهديدات الأمنية، أصبح ضمان أمان التطبيقات البرمجية تحديًا كبيرًا للمؤسسات. تظهر إدارة الوضع الأمني ​​للتطبيقات (ASPM) كحل لهذه التحديات، حيث توفر إطارًا لتحسين الرؤية وإدارة نقاط الضعف وفرض ضوابط الأمان عبر دورة حياة تطوير البرمجيات. ال […]

صورة توضح الكود المعتمد
استخدام هجوم تطبيق سطح المكتب 3CX لتوضيح أهمية التوقيع والتحقق من البرامج

في أواخر مارس 2023، كشف باحثون أمنيون عن هجوم معقد لسلسلة التوريد البرمجية لأحد الجهات الفاعلة على برامج الاتصالات التجارية من 3CX، وبشكل أساسي تطبيق سطح المكتب للاتصال الصوتي والفيديو الخاص بالشركة. وحذر الباحثون من أن التطبيق تعرض بطريقة ما لفيروس طروادة وأن استخدامه قد يعرض المنظمة لمخطط تسرب محتمل من قبل جهة تهديد. […]

صورة للبوصلة فوق الكود
التنقل في إرشادات SBOM الخاصة بوكالة الأمن القومي: الخطوات الأساسية لأمن سلسلة توريد البرامج الفعالة

في المشهد الرقمي اليوم، يعد أمان البرامج أمرًا بالغ الأهمية. قامت وكالة الأمن القومي (NSA)، بالتعاون مع وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، بوضع مبادئ توجيهية شاملة لإدارة قائمة مواد البرمجيات (SBOM). تعتبر هذه الإرشادات ضرورية للمؤسسات التي تهدف إلى تعزيز وضع الأمن السيبراني لديها وتخفيف المخاطر في سلسلة توريد البرامج الخاصة بها. لماذا […]

المشاركات الأكثر شعبية
فهم وتنفيذ الأمر التنفيذي الفيدرالي الجديد رقم 14144 بشأن أمن البرمجيات: دليل عمليكيفية دمج SBOMs عبر SDLC بالكاملالدفاع ضد الهجمات الأخيرة على سلسلة توريد البرمجيات: الدروس والاستراتيجياتهل ستذهب إلى المعركة بدون خريطة؟
الأقسام