O NIST SP 800-218 representa um divisor de águas para todas as organizações que fornecem software e serviços de software ao governo dos Estados Unidos. De acordo com estas diretrizes, os fornecedores são obrigados a implementar práticas seguras de desenvolvimento de software durante todo o ciclo de vida de desenvolvimento de software (SDLC), com o objetivo de reduzir vulnerabilidades de segurança e intervenções maliciosas.
Seção 4 de Ordem Executiva dos EUA 14028, Melhorando a segurança cibernética do país encarrega o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) de identificar padrões, ferramentas e práticas para proteger a cadeia de fornecimento de software e estabelecer diretrizes para fazê-lo com base nas contribuições dos setores público e privado.
A Estrutura de Desenvolvimento de Software Seguro (SSDF) do NIST promove transparência e medidas resistentes a adulterações para reduzir o risco de intervenção maliciosa e exposição a vulnerabilidades no Ciclo de Vida de Desenvolvimento de Software. Em nossa opinião, estes são principalmente:
- Validando artefatos e integridade de dados
- Assinar digitalmente artefatos de software
- Coletando evidências de todas as mudanças críticas durante o ciclo de vida do software
- Validando a procedência de cada componente em um artefato de software
Os especialistas em segurança consideram que rastrear todos os arquivos desde o controle de origem até a compilação, verificar se não há alterações não intencionais comparando os valores de hash dos arquivos e rastrear novos arquivos e a integridade das ferramentas na cadeia de ferramentas são úteis para reduzir o risco de ataques maliciosos. intervenção em produtos de software. Essas ferramentas funcionam em conjunto com a coleta de evidências em cada etapa do seu processo e a assinatura dessas evidências, tornando-as um atestado imutável.
A essência destas diretrizes é a adoção de uma abordagem baseada em riscos que determina mitigações de ameaças para o ciclo de vida de desenvolvimento de um software específico. Você define suas diretrizes de segurança de acordo com suas próprias avaliações de risco e depois aplica continuamente essas regras aos todos os partes de seus processos.
Certamente não é demasiado cedo para tomar medidas para melhorar a sua postura de segurança, a fim de facilitar a conformidade com estas alterações regulamentares. Além disso, preparar-se antecipadamente para a implementação do NIST SP 800-218 permitirá que você identifique de forma mais completa e confortável as ações que deve realizar e seu impacto em seu pessoal e processos.
Essas medidas podem não apenas posicioná-lo para cumprir mais prontamente as novas regulamentações, mas também melhorar significativamente a postura de segurança do seu produto e melhorar a reputação comercial da sua empresa hoje e no futuro.
Para saber mais sobre as mudanças nas regulamentações e quais medidas de segurança específicas adotamos sugiro que você comece, confira nosso completo white paper sobre o SSDF.
Este conteúdo é oferecido a você pela Scribe Security, um fornecedor líder de soluções de segurança de cadeia de suprimentos de software ponta a ponta – fornecendo segurança de última geração para artefatos de código e processos de desenvolvimento e entrega de código em todas as cadeias de suprimentos de software. Saiba mais.
Artigos Relacionados
