初步思想出现了更有效,生态系统范围的标准和准则
更新美国国家标准技术研究所(NIST)分享了Infosec行业提交的一系列建议,以增强联邦机构的防御能力,以防止蓬勃发展的软件威胁供应链攻击。
NIST正在整理各种技术和INFOSEC组织的建议,目的是创建标准和准则,以指导联邦政府的软件采购和安全方法。
按照最近的指示行政命令NIST来自Biden总统,本月早些时候与1,400名参与者举行了虚拟研讨会150篇论文从Microsoft,Google和Linux Foundation等人提交的建议中。
这一宣布是在一系列备受瞩目的供应链攻击之后,例如反对Solarwinds和Codecov应用程序和一系列恶意包裹,通过“依赖混乱' 三月。
定义“批判”
作为以网络安全为重点的一部分,可以指示专注于供应链的指令,拜登管理局要求“更严格,更可预测的机制”,尤其是确保“关键”软件。
但是,行业反馈表明,即使定义“关键”也将具有挑战性。
例如,在对NIST的论文呼吁时,软件工程学院(SEI)说过“软件及其使用上下文是为了确定'关键'指定的目的而密不可分的。
它引用了Openssh的用例,并补充说:“托管CAT图片和核电站的业余爱好者网络服务器具有不同的'……如beplay体育能用吗果受到损害,可能受到伤害的潜力”。
SEI还警告不要针对关键软件采用“静态”定义,而是建议由适应的指定机制利益相关者特定的漏洞分类(SSVC)。
莎莎
同时,Google贡献的一部分是一个端到端框架,称为软件工件的供应链水平(SLSA),旨在保护“整个软件供应链中的软件工件的完整性”。
这家技术巨头有倾斜的SLSA作为涵盖完整开发工作流程的同类第一个框架:源构建 - 发布。
Pronounced ‘Salsa’, the framework comprises “incrementally adoptable security guidelines” across four levels – ranging from an automated, provenance-generating build process (SLSA 1) through to a two-person review of changes and “a hermetic, reproducible build process” (SLSA 4).
少即是多
SEI还建议,联邦机构应该期望看到潜在供应商提供的漏洞披露计划(VDP)和软件材料清单(SBOM)。
SEI建议,他们还应该注意公理:“有时更少”:“操作较少的软件,更少的功能可以降低攻击表面”,它说。
建议供应商适当通知供应日期,并“主动降低与单个集中式安全[软件]更新机制相关的风险” - Solarwinds和Solarwinds的攻击向量NotPetya攻击。
SEI补充说,对这些和其他领域的现有指南过于大量,应该合并。
关于测试源代码的主题研讨会摘要提出一个建议,即每个项目至少一个开发人员“应该接受安全培训:特别是他们必须闯入计划的课程”。
至于选择工具和技术,建议开发人员将模糊作为一种经济有效的手段来挑选潜在脆弱性的难以捉摸的“奇异案例”。
根据联合创始人和CTO的布莱恩·福克斯(Brian Fox)的说法DevOps自动化平台Sonatype,“ NIST提案的重点是定义出售给政府的软件的最低要求。鉴于出售给美国的软件范围广泛,这些要求将不可避免地影响业内其他地区政府。
“这谷歌另一方面,提案超出了最低要求,并提出了一个特定模型,以评分产生给定组件的供应链姿势。”每日swbeplay2018官网ig。“这些分数将促使人们专注于许多通常被忽略的关键要素,例如'建立二进制安全的系统吗?”。
“总而言之,NIST目前专注于'什么'和Google以及其他行业建议,正在努力应对'如何'。”
更正:本文于6月21日更新,以反映以下事实:Google的提议是根据NIST征求论文的呼吁而不是完全独立的倡议提交的。
