NIST SP 800-218 représente un moment décisif pour toute organisation qui fournit des logiciels et des services logiciels au gouvernement des États-Unis. En vertu de ces directives, les fournisseurs sont tenus de mettre en œuvre des pratiques de développement de logiciels sécurisées tout au long du cycle de vie du développement logiciel (SDLC), dans le but de réduire les vulnérabilités de sécurité et les interventions malveillantes.
L'article 4 de Décret exécutif américain 14028, Améliorer la cybersécurité de la nation charge l'Institut national américain des normes et de la technologie (NIST) d'identifier les normes, les outils et les pratiques permettant de sécuriser la chaîne d'approvisionnement en logiciels et d'établir des lignes directrices pour ce faire, basées sur la contribution des secteurs public et privé.
Le Secure Software Development Framework (SSDF) du NIST favorise la transparence et les mesures inviolables pour réduire le risque d'intervention malveillante et l'exposition aux vulnérabilités dans le cycle de vie du développement logiciel. Selon nous, il s’agit principalement :
- Validation de l'intégrité des artefacts et des données
- Artefacts logiciels de signature numérique
- Collecte de preuves de tous les changements critiques au cours du cycle de vie du logiciel
- Valider la provenance de chaque composant d'un artefact logiciel
Les experts en sécurité considèrent que le suivi de tous les fichiers depuis le contrôle de source jusqu'à la construction, la vérification qu'il n'y a pas de changement involontaire en comparant les valeurs de hachage des fichiers, et le suivi des nouveaux fichiers et de l'intégrité des outils de la chaîne d'outils sont tous utiles pour réduire le risque de malware. intervention sur des produits logiciels. Ces outils fonctionnent en tandem avec la collecte de preuves à chaque étape de votre processus et la signature de ces preuves, ce qui en fait une attestation immuable.
L'essence de ces lignes directrices est l'adoption d'une approche basée sur les risques qui détermine les mesures d'atténuation des menaces pour le cycle de vie de développement d'un logiciel particulier. Vous définissez vos directives de sécurité en fonction de vos propres évaluations des risques, puis appliquez continuellement ces règles à tous parties de vos processus.
Il n’est certainement pas trop tôt pour prendre des mesures pour améliorer votre posture de sécurité afin de faciliter la conformité à ces changements réglementaires. De plus, préparer à l’avance la mise en œuvre du NIST PS 800-218 vous permettra d'identifier plus précisément et plus confortablement les actions que vous devez entreprendre et leur impact sur vos collaborateurs et vos processus.
Ces mesures peuvent non seulement vous permettre de vous conformer plus facilement aux nouvelles réglementations, mais peuvent également améliorer considérablement la sécurité de vos produits et améliorer la réputation commerciale de votre entreprise, aujourd'hui et à l'avenir.
Pour en savoir plus sur l'évolution de la réglementation et les mesures de sécurité spécifiques que nous Je vous suggère de commencer par, consultez notre intégralité livre blanc sur le SSDF.
Ce contenu vous est proposé par Scribe Security, l'un des principaux fournisseurs de solutions de sécurité de bout en bout pour la chaîne d'approvisionnement logicielle, offrant une sécurité de pointe aux artefacts de code ainsi qu'aux processus de développement et de livraison de code tout au long des chaînes d'approvisionnement logicielles. En savoir plus.