NIST SP 800-218 представляет собой переломный момент для каждой организации, поставляющей программное обеспечение и программные услуги правительству США. В соответствии с этими руководящими принципами поставщики обязаны внедрять методы безопасной разработки программного обеспечения на протяжении всего жизненного цикла разработки программного обеспечения (SDLC) с целью уменьшения уязвимостей безопасности и вредоносных вмешательств.
Раздел 4 Указ президента США 14028, Улучшение национальной кибербезопасности поручает Национальному институту стандартов и технологий США (NIST) определить стандарты, инструменты и методы обеспечения безопасности цепочки поставок программного обеспечения и разработать руководящие принципы для этого на основе информации как государственного, так и частного секторов.
Структура безопасной разработки программного обеспечения (SSDF) NIST обеспечивает прозрачность и меры защиты от несанкционированного доступа для снижения риска злонамеренного вмешательства и воздействия уязвимостей в жизненном цикле разработки программного обеспечения. На наш взгляд, это прежде всего:
- Проверка артефакта и целостности данных
- Цифровая подпись артефактов программного обеспечения
- Сбор доказательств всех критических изменений в течение жизненного цикла программного обеспечения.
- Проверка происхождения каждого компонента программного артефакта
Эксперты по безопасности считают, что отслеживание всех файлов от системы контроля версий до сборки, проверка отсутствия непреднамеренных изменений путем сравнения значений хеш-функций файлов, а также отслеживание новых файлов и целостности инструментов в цепочке инструментов — все это полезно для снижения риска вредоносного ПО. вмешательство в программные продукты. Эти инструменты работают в тандеме со сбором доказательств на каждом этапе вашего процесса и подписанием этих доказательств, что делает их неизменным подтверждением.
Суть этих рекомендаций заключается в принятии подхода, основанного на оценке рисков, который определяет меры по снижению угроз для жизненного цикла разработки конкретного программного обеспечения. Вы определяете свои правила безопасности в соответствии со своими собственными оценками рисков, а затем постоянно применяете эти правила для ВСЕ части ваших процессов.
Конечно, еще не слишком рано предпринять шаги по улучшению вашей безопасности, чтобы облегчить соблюдение этих нормативных изменений. Более того, заранее готовясь к внедрению NIST СП 800-218 позволит вам более тщательно и удобно определить действия, которые вы должны предпринять, и их влияние на ваших людей и процессы.
Эти меры могут не только помочь вам с большей готовностью соблюдать новые правила, но также могут значительно улучшить состояние безопасности вашей продукции и улучшить деловую репутацию вашей компании сегодня и в будущем.
Чтобы узнать больше об изменяющихся правилах и о том, какие конкретные меры безопасности мы принимаем, предлагаю вам начать с ознакомления с нашим полным Технический документ по SSDF.
Этот контент предоставлен вам Scribe Security, ведущим поставщиком комплексных решений для обеспечения безопасности цепочки поставок программного обеспечения, обеспечивающим современную безопасность артефактов кода, а также процессов разработки и доставки кода по всей цепочке поставок программного обеспечения. Подробнее.
Статьи по теме
