NIST SP 800-218 representa un momento decisivo para todas las organizaciones que suministran software y servicios de software al gobierno de los Estados Unidos. Según estas directrices, los proveedores deben implementar prácticas seguras de desarrollo de software durante todo el ciclo de vida de desarrollo de software (SDLC), con el objetivo de reducir las vulnerabilidades de seguridad y las intervenciones maliciosas.
Sección 4 de Orden ejecutiva de EE. UU. 14028, Mejorando la Ciberseguridad de la Nación encarga al Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. la tarea de identificar estándares, herramientas y prácticas para asegurar la cadena de suministro de software y establecer pautas para hacerlo basándose en aportes de los sectores público y privado.
El Marco de desarrollo de software seguro (SSDF) del NIST promueve la transparencia y medidas resistentes a manipulaciones para reducir el riesgo de intervención maliciosa y la exposición a vulnerabilidades en el ciclo de vida de desarrollo de software. En nuestra opinión, estos son principalmente:
- Validación de la integridad de los datos y los artefactos
- Firmar digitalmente artefactos de software
- Recopilar evidencia de todos los cambios críticos durante el ciclo de vida del software.
- Validar la procedencia de cada componente en un artefacto de software
Los expertos en seguridad consideran que rastrear todos los archivos desde el control de código fuente hasta la compilación, verificar que no haya cambios no deseados comparando los valores hash de los archivos y rastrear archivos nuevos y la integridad de las herramientas en la cadena de herramientas son útiles para reducir el riesgo de ataques maliciosos. Intervención en productos de software. Estas herramientas funcionan en conjunto con la recopilación de evidencia en cada paso de su proceso y la firma de esa evidencia, lo que la convierte en una certificación inmutable.
La esencia de estas pautas es la adopción de un enfoque basado en riesgos que determina las mitigaciones de amenazas para el ciclo de vida de desarrollo de un software en particular. Usted define sus pautas de seguridad de acuerdo con sus propias evaluaciones de riesgos y luego aplica continuamente esas reglas para todos partes de sus procesos.
Ciertamente no es demasiado pronto para tomar medidas para mejorar su postura de seguridad a fin de facilitar el cumplimiento de estos cambios regulatorios. Además, prepararse con antelación para la implementación del NIST. ESP 800-218 te permitirá identificar de forma más completa y cómoda las acciones que debes emprender y su impacto en tus personas y procesos.
Es posible que estas medidas no sólo lo posicionen para cumplir más fácilmente con las nuevas regulaciones, sino que también pueden mejorar significativamente su postura de seguridad del producto y mejorar la reputación comercial de su empresa hoy y en el futuro.
Para obtener más información sobre las regulaciones cambiantes y qué medidas de seguridad específicas utilizamos le sugerimos que comience, consulte nuestro completo documento técnico sobre el SSDF.
Este contenido es presentado por Scribe Security, un proveedor líder de soluciones de seguridad de la cadena de suministro de software de extremo a extremo, que ofrece seguridad de última generación para artefactos de código y procesos de desarrollo y entrega de código en todas las cadenas de suministro de software. Más información.
Artículos relacionados con
