NSA
美國國安局(National Security Agency,NSA)、網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)與美國國家情報總監辦公室(Office of the Director of National Intelligence,ODNI)周一(10/31)連袂發布了針對供應商的《捍衛軟體供應鏈:給供應商的建議實踐指南》(Securing the Software Supply Chain: Recommended Practices Guide for Suppliers),於該份40頁的文件中提供如何檢查軟體的安全性、保護程式碼、驗證軟體的完整性、如何開發安全的軟體,以及如何辨識、分析與緩解安全漏洞。
圖片來源/美國國防部
對於軟體供應鏈的安全實踐,NSA、CISA與ODNI有一系列的規畫,相關規畫奠基在由NSA及CISA所主導的產官學工作小組所開發的「長期安全框架」(Enduring Security Framework,ESF),此一框架為美國重大基礎設施的資安指南,針對軟體供應鏈總計有3部分,首先是今年9月釋出、鎖定開發者的《Securing the Software Supply Chain for Developers》,本周釋出的指南適用於供應商,下一步則會釋出給供應鏈客戶使用者的版本。
圖片來源/美國國防部
為了指導軟體供應鏈的供應商,ESF研究了造成SolarWinds攻擊的資安事件,確認了產業與政府建立軟體供應鏈最佳實作的必要性,因為駭客只要透過軟體供應鏈中的單一漏洞,就會對運算環境或基礎設施帶來嚴重的影響。NSA表示,雖然預防這類的安全風險通常被視為是開發者的責任,但供應商在確保軟體安全與完整性上也必須擔負重責。
供應商負責開發者與客戶之間的聯繫,此一角色可在合約協議、軟體發布與更新、通知及漏洞緩解上,提供額外的安全保障。
因此,在此一文件中,定義了軟體安全檢查的標準,針對如何確保軟體部署程序的安全提出了建議,建議供應商如何預防程式碼遭到未經授權的存取與竄改,建議採用數位簽章來驗證軟體版本的完整性,如何保護每一個不同的軟體版本,開發安全的軟體,檢查第三方軟體是否符合安全要求,確保建置程序的安全,檢查與分析程式碼,測試可執行的程式碼,於預設值啟用安全設定,以及持續地辨識、分析及緩解安全漏洞。
除了NSA、CISA與ODNI之外,美國國家標準暨技術研究院(NIST)也曾在今年5月發布長達326頁的《網路安全供應鏈風險管理》(Cybersecurity Supply Chain Risk Management,C-SCRM)指南,以協助那些採購與使用其它技術產品及服務的組織來保護其自身的安全,但後者主要鎖定供應鏈的採購者及使用者,前者則是針對供應鏈的開發者、供應商與客戶釋出安全指南。
熱門新聞
2024-12-10
2024-12-10
2024-12-08
2024-12-10
2024-12-11
2024-11-29