NIST SP 800-218은 미국 정부에 소프트웨어 및 소프트웨어 서비스를 공급하는 모든 조직의 분수령을 나타냅니다. 이러한 지침에 따라 공급업체는 보안 취약성과 악의적인 개입을 줄이는 것을 목표로 소프트웨어 개발 수명 주기(SDLC) 전반에 걸쳐 안전한 소프트웨어 개발 관행을 구현해야 합니다.
섹션 4 미국 행정 명령 14028, 국가 사이버 보안 개선 미국 국립표준기술연구소(NIST)는 소프트웨어 공급망을 보호하기 위한 표준, 도구 및 관행을 식별하고 공공 및 민간 부문의 의견을 바탕으로 이를 위한 지침을 수립하는 업무를 담당합니다.
NIST의 SSDF(Secure Software Development Framework)는 소프트웨어 개발 수명 주기에서 악의적인 개입 및 취약점 노출 위험을 줄이기 위해 투명성과 변조 방지 조치를 장려합니다. 우리가 보기에 이는 주로 다음과 같습니다.
- 아티팩트 및 데이터 무결성 검증
- 디지털 서명 소프트웨어 아티팩트
- 소프트웨어 수명주기 동안 모든 중요한 변경에 대한 증거 수집
- 출처 확인 소프트웨어 결과물의 모든 구성 요소
보안 전문가들은 빌드 전반에 걸쳐 소스 컨트롤에서 모든 파일을 추적하고, 파일 해시 값을 비교하여 의도하지 않은 변경이 없는지 확인하고, 새 파일과 툴체인 도구의 무결성을 추적하는 것이 모두 악성 코드의 위험을 줄이는 데 유용하다고 생각합니다. 소프트웨어 제품에 개입. 이러한 도구는 프로세스의 각 단계에서 증거를 수집하고 해당 증거에 서명하는 것과 함께 작동하여 이를 불변의 증명으로 만듭니다.
이러한 지침의 핵심은 특정 소프트웨어 개발 수명 주기 동안 위협에 대한 완화를 결정하는 위험 기반 접근 방식을 채택하는 것입니다. 자체 위험 평가에 따라 보안 지침을 정의한 다음 해당 규칙을 지속적으로 적용합니다. 모든 프로세스의 일부.
이러한 규정 변경 사항을 쉽게 준수할 수 있도록 보안 태세를 개선하기 위한 조치를 취하는 것은 확실히 아직 이르지 않습니다. 또한, NIST 시행을 미리 준비하는 SP 800-218 이를 통해 수행해야 하는 조치와 이것이 인력 및 프로세스에 미치는 영향을 보다 철저하고 편안하게 확인할 수 있습니다.
이러한 조치를 통해 귀하는 새로운 규정을 보다 쉽게 준수할 수 있을 뿐만 아니라 제품 보안 상태를 크게 개선하고 현재와 미래의 회사 비즈니스 평판을 높일 수 있습니다.
변화하는 규정과 당사가 제공하는 특정 보안 조치에 대해 자세히 알아보려면 먼저 시작해 보세요. 전체 내용을 확인해 보세요. SSDF 백서.
이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.