NIST SP 800-218 对于每个向美国政府提供软件和软件服务的组织来说都是一个分水岭。根据这些准则,供应商必须在整个软件开发生命周期(SDLC)中实施安全的软件开发实践,以减少安全漏洞和恶意干预。
的第4节 美国行政命令14028, 改善国家的网络安全 美国国家标准与技术研究院 (NIST) 负责确定确保软件供应链安全的标准、工具和实践,并根据公共和私营部门的意见制定相关指南。
NIST 的安全软件开发框架 (SSDF) 促进透明度和防篡改措施,以降低软件开发生命周期中恶意干预和暴露漏洞的风险。我们认为,这些主要是:
- 验证工件和数据完整性
- 对软件工件进行数字签名
- 收集软件生命周期中所有关键变更的证据
- 验证出处 软件工件中的每个组件
安全专家认为,从源代码控制到构建跟踪所有文件,通过比较文件哈希值验证没有意外更改,以及跟踪新文件和工具链中工具的完整性,这些都有助于降低恶意攻击的风险对软件产品的干预。这些工具与收集流程每个步骤的证据并签署该证据协同工作,使其成为不可变的证明。
这些准则的本质是采用基于风险的方法,确定特定软件开发生命周期的威胁缓解措施。您根据自己的风险评估定义安全准则,然后不断地将这些规则应用于 所有 您流程的一部分。
现在采取措施改善安全状况以促进遵守这些监管变化当然还不算太早。此外,提前为NIST的实施做好准备 SP 800-218 将使您能够更彻底、更轻松地确定您必须采取的行动及其对您的人员和流程的影响。
这些措施不仅可以帮助您更轻松地遵守新法规,还可以显着改善您的产品安全状况并提高您公司当前和未来的商业声誉。
要详细了解不断变化的法规以及我们采取的具体安全措施 建议您首先查看我们的完整内容 SSDF 白皮书.
此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多
相关文章
