近日,美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA) 发布了有关保护软件供应链安全指南。
本指南基于持久安全框架ESF(一个致力于解决美国关键基础设施和国家安全系统所面临威胁的公私合作伙伴关系)设计,汇总了面向软件开发人员的安全实践建议。
指南提供了有关如何开发安全代码、验证第三方组件、强化构建环境和安全交付代码的详细信息。
“该指南是为了帮助开发人员通过行业和政府评估的建议实现安全开发,”NSA表示:“开发人员将从NSA和合作伙伴那里获得有关开发安全代码、验证第三方组件、强化开发环境和交付代码的有用指导。在所有DevOps都提升为DevSecOps之前,软件开发生命周期将面临风险。”
最近几年,软件供应链安全问题频现。太阳风(SolarWinds)、Kaseya和GitLab的影响让人们见识到了软件供应链攻击的威力有多大。
微软 2021 年 10 月的一份报告还显示,自 2021 年 5 月以来,Nobelium 威胁组织在入侵 SolarWinds、攻击 140 家托管服务提供商 (MSP) 和云服务提供商并攻击至少 14 家之后,继续瞄准全球 IT 供应。
微软的调查结果表明,软件供应链已成为威胁参与者越来越受欢迎的目标,因为它允许攻击者破坏单个产品并影响使用它的众多下游公司。
下图显示软件供应链之间的关系,安全软件开发生命周期(Secure SDLC)是保护软件供应链的一个重要环节。
图1:软件供应链之间的关系
构建安全的软件从编写代码开始做起。在SDLC过程中,通过实施切实可行的开发实践可以帮助开发人员交付更加安全的代码并增加产品的安全弹性。
图2:安全软件开发过程
对于在软件开发生命周期中对于出现以下常见威胁:
被故意注入恶意代码或开发人员无意引入缺陷代码;
在产品中引入存在缺陷或漏洞的第三方源代码或二进制文件;
在软件构建过程中使用注入恶意软件的组件;
在交付中中途修改产品导致客户部署的原始包、更新或升级包中注入恶意软件。
指南中给出的缓解措施如下:
供应商和开发人员管理团队应该制定策略,以确保开发团队有以安全为中心的原则和指 导方针,以便:
-
生成架构和设计文档,
-
组建一个训练有素、合格、值得信赖的开发团队,
-
创建软件产品的威胁模型,
-
定义并实施安全测试计划,
-
定义发布标准,并根据它来评估产品,
-
建立产品支持和漏洞处理策略和程序,
-
评估开发人员的能力和对安全开发过程的理解,并分配培训,
-
记录并发布每个软件发布的安全程序和流程。
关于指南的更多内容,可点击了解。
文章来源:
