SSDF(NIST 800-218) 최종 버전 – 초안과의 차이점 및 그 영향

22월 1.1일 NIST는 SSDF XNUMX(보안 소프트웨어 개발 프레임워크)의 최종 버전을 출시했습니다. 

이 프레임워크는 처음에 2021년 XNUMX월에 초안 버전으로 게시되었습니다. 모든 고급 사례와 작업은 제공된 다양한 예제를 중심으로 많은 차이점을 제외하고 동일하게 유지됩니다.

NIST SP 800-218 프레임워크란 무엇입니까? SSDF는 보안 소프트웨어 개발을 위한 오랜 모범 사례 권장 사항을 통합합니다. 부문에 구애받지 않는 맞춤형 접근 방식은 부서 간(및 생산자/인수자) 커뮤니케이션을 촉진하여 전략적 목표를 정의하고 현재 격차를 평가하는 데 도움이 되도록 구축되었습니다. 

NIST는 구현할 방법을 결정할 때 비용, 타당성 및 적용 가능성과 위험 사이의 균형을 유지할 것을 권장합니다. 자동화는 소프트웨어 보안을 촉진하는 검사 및 프로세스를 최대한 자동화한다는 원하는 목표를 위해 고려해야 할 핵심 기능입니다.

최종 버전과 초안 버전의 차이점: 

무결성 검증 – 취약점을 논의할 때 무결성 검증에 더 중점을 둡니다. 코드와 외부 소스에서 얻은 라이브러리/제품을 모두 볼 때.

불변 증명 - 특히 소프트웨어 공급망의 복잡성을 고려할 때 관행 구현에 대한 책임은 여러 조직에 분산될 수 있습니다. 체인의 상류 또는 하류로 갈수록 가시성이 크게 떨어집니다. 그렇기 때문에 NIST는 계약이나 합의에서 플랫폼/서비스의 공급자와 소비자 모두가 관련된 공동 책임을 성문화할 것을 권장합니다. 각 관행과 업무에 대해 책임을 지는 당사자가 누구인지, 그리고 각 제공업체가 계약 준수를 어떻게 증명할 것인지가 명확해야 합니다. 여기서는 '신뢰하되 검증하라'라는 원칙이 적용됩니다. 즉 불변의 증명입니다. 소프트웨어 생산자와 소프트웨어 인수자 간에 쉽게 공유할 수 있는 정보는 소프트웨어 공급망에 대한 모든 이해관계자의 신뢰를 높이는 데 핵심입니다.

오픈 소스 커뮤니티 참여 – NIST는 향후 작업이 특정 사용 사례의 형태를 취할 가능성이 높으며 NIST와 협력할 계획이라고 밝혔습니다. 오픈 소스 커뮤니티. 오늘날 사용되는 대부분의 상용 코드 제품에는 중요한 오픈 소스 코드 요소가 포함되어 있다는 점을 고려하면 소프트웨어 라이프사이클 보안을 계획하고 구현하는 데 오픈 소스 커뮤니티를 포함시키는 것은 자연스러운 일입니다.

KRI(핵심 위험 지표)로 표시되는 취약점 심각도 점수 – 또 다른 변경 사항은 핵심 지표인 심각도 점수입니다. 많은 사이버 보안 인력이 경고 피로로 고통받고 있다는 사실을 알고 있으므로 각 조직에서는 자신에게 적합한 취약성 점수 척도와 각 점수의 장점에 맞는 구체적인 처리 방법을 정의하는 것이 합리적입니다.

사람의 접근이 줄어들고 자동화가 향상됩니다. – NIST는 빌드 서비스와 같은 툴체인 시스템에 대한 직접적인 인간 액세스를 최소화하도록 권장합니다. 더 많은 사람이 접근할수록 더 많은 실수가 발생할 수 있습니다. 이는 자동화 확대에 대한 권장 사항과 같은 맥락입니다.

무결성을 갖춘 SBOM – SBOM(Software Bill of Materials)을 논의할 때 NIST는 아티팩트의 무결성에 대한 강력한 보호를 채택하고 수신자가 해당 무결성을 확인할 수 있는 방법을 제공할 것을 권장합니다. 수신자는 조직 내부 및 외부의 사람이 될 수 있으므로 보안 SBOM을 공유하기 위해 타사 시스템을 사용하는 것이 합리적입니다.

바이너리 대 소스 코드 무결성 – 획득한 바이너리의 무결성이나 출처를 확인할 수 없는 경우 소스 코드에서 해당 바이너리를 새로 빌드하는 것이 좋습니다. 이는 소스 코드의 무결성과 출처를 확인할 수 있다고 가정합니다. 디지털 서명이나 SBOM과 같은 기타 메커니즘을 통해 검증 가능한 무결성 증거를 제공하는 것은 소프트웨어 공급망의 모든 링크의 책임입니다.  

요약

전반적으로 NIST는 “SSDF의 관행, 작업 및 구현 사례는 고려해야 할 출발점을 나타냅니다. 그것들은 변경되고 맞춤화되며 시간이 지남에 따라 진화하도록 되어 있습니다.”

SSDF는 따라야 할 체크리스트가 아니라, 대신 보안 소프트웨어 개발을 위한 위험 기반 접근 방식을 계획하고 구현하기 위한 지침을 제공합니다.

미국 법률 기반 규정과 달리 SSDF는 비즈니스 기반이 될 것입니다. 정부는 구매력을 활용하여 시장이 이 새로운 모범 사례 프레임워크를 준수하도록 할 것입니다. 프레임워크 준수를 입증할 수 없으면 정부 계약 대상으로 고려되지 않습니다. 정부 계약 신청을 고려하는 조직이 모든 벤더와 공급업체에게도 이를 준수하도록 요구하는 등 소프트웨어 공급망 전반에 걸쳐 낙수 효과가 나타날 가능성이 높습니다.

새로운 규정과 SSDF에 대해 자세히 알아보려면 웹 세미나를 확인하세요. “2022년의 새로운 사이버 보안 규정 알아보기”.