NIST SP 800-218 stellt einen Wendepunkt für jede Organisation dar, die der Regierung der Vereinigten Staaten Software und Softwaredienstleistungen liefert. Gemäß diesen Richtlinien sind Lieferanten verpflichtet, sichere Softwareentwicklungspraktiken während des gesamten Software Development Life Cycle (SDLC) zu implementieren, mit dem Ziel, Sicherheitslücken und böswillige Eingriffe zu reduzieren.
Abschnitt 4 von US-Executive Order 14028, Verbesserung der Cybersicherheit der Nation beauftragt das US-amerikanische National Institute of Standards and Technology (NIST), Standards, Tools und Praktiken zur Sicherung der Software-Lieferkette zu identifizieren und Richtlinien dafür auf der Grundlage von Beiträgen sowohl des öffentlichen als auch des privaten Sektors festzulegen.
Das Secure Software Development Framework (SSDF) von NIST fördert Transparenz und manipulationssichere Maßnahmen, um das Risiko böswilliger Eingriffe und die Gefährdung durch Schwachstellen im Softwareentwicklungslebenszyklus zu verringern. Aus unserer Sicht sind dies vor allem:
- Validierung der Artefakt- und Datenintegrität
- Software-Artefakte digital signieren
- Sammeln von Beweisen für alle kritischen Änderungen während des Software-Lebenszyklus
- Validierung der Herkunft jeder Komponente in einem Software-Artefakt
Sicherheitsexperten sind der Ansicht, dass die Verfolgung aller Dateien von der Quellcodeverwaltung bis zum Build, die Überprüfung, ob keine unbeabsichtigten Änderungen durch den Vergleich von Datei-Hash-Werten vorliegen, sowie die Verfolgung neuer Dateien und der Integrität der Tools in der Toolchain hilfreich sind, um das Risiko böswilliger Angriffe zu verringern Eingriffe in Softwareprodukte. Diese Tools arbeiten Hand in Hand mit der Sammlung von Beweisen für jeden Schritt Ihres Prozesses und der Unterzeichnung dieser Beweise, wodurch sie zu einer unveränderlichen Bescheinigung werden.
Das Wesentliche dieser Richtlinien ist die Annahme eines risikobasierten Ansatzes, der die Abschwächung von Bedrohungen für den Entwicklungslebenszyklus einer bestimmten Software festlegt. Sie definieren Ihre Sicherheitsrichtlinien anhand Ihrer eigenen Risikoeinschätzungen und wenden diese Regeln dann kontinuierlich an alle Teile Ihrer Prozesse.
Es ist sicherlich nicht zu früh, Maßnahmen zur Verbesserung Ihres Sicherheitsstatus zu ergreifen, um die Einhaltung dieser regulatorischen Änderungen zu erleichtern. Darüber hinaus bereiten wir uns im Voraus auf die Implementierung von NIST vor SP800-218 ermöglicht es Ihnen, die von Ihnen durchzuführenden Maßnahmen und deren Auswirkungen auf Ihre Mitarbeiter und Prozesse gründlicher und komfortabler zu ermitteln.
Diese Maßnahmen ermöglichen es Ihnen nicht nur, die neuen Vorschriften leichter einzuhalten, sondern können auch Ihre Produktsicherheit erheblich verbessern und den Ruf Ihres Unternehmens heute und in Zukunft verbessern.
Erfahren Sie mehr über die sich ändernden Vorschriften und welche spezifischen Sicherheitsmaßnahmen wir ergreifen Wir schlagen vor, dass Sie damit beginnen, schauen Sie sich unsere vollständige Liste an Whitepaper zum SSDF.
Diese Inhalte werden Ihnen von Scribe Security zur Verfügung gestellt, einem führenden Anbieter von End-to-End-Sicherheitslösungen für die Software-Lieferkette, der modernste Sicherheit für Code-Artefakte sowie Code-Entwicklungs- und Bereitstellungsprozesse in der gesamten Software-Lieferkette bietet. Weitere Informationen.