NIST SP 800-218 rappresenta un momento di svolta per ogni organizzazione che fornisce software e servizi software al governo degli Stati Uniti. Secondo queste linee guida, i fornitori sono tenuti a implementare pratiche di sviluppo software sicure durante tutto il ciclo di vita dello sviluppo software (SDLC), con l'obiettivo di ridurre le vulnerabilità della sicurezza e gli interventi dannosi.
Sezione 4 di Ordine esecutivo degli Stati Uniti 14028, Migliorare la sicurezza informatica della nazione incarica il National Institute of Standards and Technology (NIST) degli Stati Uniti di identificare standard, strumenti e pratiche per proteggere la catena di fornitura del software e di stabilire linee guida per farlo sulla base del contributo del settore pubblico e privato.
Il Secure Software Development Framework (SSDF) del NIST promuove la trasparenza e misure anti-manomissione per ridurre il rischio di interventi dannosi e di esposizione alle vulnerabilità nel ciclo di vita dello sviluppo del software. A nostro avviso si tratta principalmente di:
- Convalida dell'artefatto e dell'integrità dei dati
- Firma digitale degli artefatti software
- Raccolta di prove per tutti i cambiamenti critici durante il ciclo di vita del software
- Convalidare la provenienza di ogni componente di un artefatto software
Gli esperti di sicurezza ritengono che tenere traccia di tutti i file dal controllo del codice sorgente fino alla compilazione, verificare che non vi siano modifiche involontarie confrontando i valori hash dei file e tenere traccia dei nuovi file e dell'integrità degli strumenti nella toolchain sono tutti strumenti utili per ridurre il rischio di attacchi dannosi. intervento nei prodotti software. Questi strumenti funzionano insieme alla raccolta di prove in ogni fase del processo e alla firma di tali prove, rendendole un'attestazione immutabile.
L'essenza di queste linee guida è l'adozione di un approccio basato sul rischio che determina le mitigazioni delle minacce per il ciclo di vita di sviluppo di un particolare software. Definisci le tue linee guida di sicurezza in base alle tue valutazioni del rischio e poi applichi continuamente tali regole contro tutti i parti dei tuoi processi.
Non è certamente troppo presto per adottare misure volte a migliorare la propria posizione in materia di sicurezza al fine di facilitare la conformità a questi cambiamenti normativi. Inoltre, prepararsi in anticipo per l'attuazione del NIST PS 800-218 ti consentirà di identificare in modo più approfondito e confortevole le azioni che devi intraprendere e il loro impatto sulle tue persone e sui tuoi processi.
Queste misure potrebbero non solo consentirti di conformarti più facilmente alle nuove normative, ma possono anche migliorare in modo significativo il livello di sicurezza dei tuoi prodotti e migliorare la reputazione aziendale della tua azienda oggi e in futuro.
Per saperne di più sulle modifiche normative e sulle misure di sicurezza specifiche che adotteremo suggerisco di iniziare con, dai un'occhiata al nostro full Libro bianco sull'SSDF.
Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.