NIST SP 800-218 vertegenwoordigt een keerpunt voor elke organisatie die software en softwarediensten levert aan de Amerikaanse overheid. Volgens deze richtlijnen zijn leveranciers verplicht om veilige softwareontwikkelingspraktijken te implementeren gedurende de Software Development Life Cycle (SDLC), met als doel beveiligingskwetsbaarheden en kwaadaardige interventies te verminderen.
Sectie 4 van Amerikaans uitvoeringsbesluit 14028, Verbetering van de cyberbeveiliging van het land geeft het Amerikaanse National Institute of Standards and Technology (NIST) de opdracht om standaarden, tools en praktijken te identificeren voor het beveiligen van de softwaretoeleveringsketen en om richtlijnen hiervoor op te stellen op basis van input van zowel de publieke als de private sector.
NIST's Secure Software Development Framework (SSDF) bevordert transparantie en fraudebestendige maatregelen om het risico op kwaadwillige interventie en blootstelling aan kwetsbaarheden in de Software Development Lifecycle te verminderen. Volgens ons zijn dit vooral:
- Validatie van artefacten en gegevensintegriteit
- Softwareartefacten digitaal ondertekenen
- Bewijs verzamelen voor alle kritische veranderingen tijdens de levenscyclus van software
- Het valideren van de herkomst van elk onderdeel in een softwareartefact
Beveiligingsexperts zijn van mening dat het volgen van alle bestanden vanaf het bronbeheer tot en met de build, het verifiëren dat er geen onbedoelde wijzigingen zijn door de hash-waarden van bestanden te vergelijken, en het volgen van nieuwe bestanden en de integriteit van de tools in de toolchain allemaal nuttig zijn om het risico op kwaadwillige aanvallen te verminderen. interventie in softwareproducten. Deze tools werken samen met het verzamelen van bewijsmateriaal voor elke stap van uw proces en het ondertekenen van dat bewijsmateriaal, waardoor het een onveranderlijke attest wordt.
De essentie van deze richtlijnen is de adoptie van een op risico's gebaseerde aanpak die oplossingen voor bedreigingen voor de ontwikkelingslevenscyclus van bepaalde software bepaalt. U definieert uw beveiligingsrichtlijnen op basis van uw eigen risicobeoordelingen en past deze regels vervolgens voortdurend toe allen onderdelen van uw processen.
Het is zeker niet te vroeg om stappen te ondernemen om uw beveiligingspositie te verbeteren en zo de naleving van deze wijzigingen in de regelgeving te vergemakkelijken. Bovendien vooraf voorbereiden op de implementatie van NIST SP800-218 stelt u in staat om de acties die u moet ondernemen en de impact ervan op uw mensen en processen grondiger en comfortabeler te identificeren.
Deze maatregelen kunnen u niet alleen in staat stellen gemakkelijker aan de nieuwe regelgeving te voldoen, maar kunnen ook de veiligheid van uw producten aanzienlijk verbeteren en de bedrijfsreputatie van uw bedrijf vandaag en in de toekomst verbeteren.
Wilt u meer weten over de veranderende regelgeving en welke specifieke beveiligingsmaatregelen wij nemen? stel voor dat u begint met, bekijk ons volledige whitepaper over de SSDF.
Deze inhoud wordt u aangeboden door Scribe Security, een toonaangevende aanbieder van end-to-end software supply chain-beveiligingsoplossingen die state-of-the-art beveiliging levert voor codeartefacten en codeontwikkelings- en leveringsprocessen in de software supply chain. Meer informatie.
Gerelateerde berichten
