Ellátási lánc biztonsági útmutatót adott ki az USA kormánya

Az Egyesült Államok Kiberbiztonsági Ügynöksége (CISA), a Nemzetbiztonsági Ügynöksége (NSA), valamint a Nemzeti Hírszerzés Igazgatói Hivatala (ODNI) kiadták a szoftver ellátási lánc védelméről szóló, három részből álló útmutató második részét.

Az Enduring Security Framework (ESF) célja a kritikus infrastruktúrákat és nemzetbiztonsági rendszereket fenyegető kockázatok mérséklése. Az útmutató ajánlásokat fogalmaz meg mind a fejlesztőknek, mind a beszállítóknak, valamint a szervezeteknek egyaránt.

Az útmutató első része még szeptemberben került kiadásra, ami a fejlesztők számára tartalmazott védelmi megoldásokat. A sorozat második része a szoftverbeszállítók számára fogalmaz meg jó gyakorlatokat és szabványokat, amelyek betartásával javítható a szoftverek biztonsága a gyártástól egészen a szállításig. Az ügynökségek elmondása szerint a szoftverszállítók közvetítőként szolgálnak a fejlesztők és a vásárlók (ügyfelek) között, ezért ők felelnek a szoftverek integritásának megőrzéséért, a szoftverek validálásáért, az ismert sebezhetőségek tudatosításáért, valamint az ügyfélvisszajelzések fejlesztőkhöz történő eljuttatásáért.

Az ESF ajánlásokat fogalmaz meg a biztonságos szoftverfejlesztés teljes életciklusára (Secure SDLC), valamint több forgatókönyvet is tartalmaz a biztonságos szoftverszállításra. A beszállítóknak gondoskodniuk kell a kódok védelméről, hogy azokhoz illetéktelenek ne férhessenek hozzá, valamint, hogy ellenőrizhető legyen a szoftverkiadások sértetlensége, illetve, hogy a szoftverek megfeleljenek a biztonsági követelményeknek.

(securityweek.com)