‘一个综合工具,可以带您从爬行到步行跑步”
Infosec专家欢迎美国国家标准技术研究所(NIST)对其网络安全进行大修供应链风险管理指南(C-SCRM)。
修订后的C-SCRM文件是针对拜登总统在2021年5月签署的一项行政命令而开发的,为识别,评估和解决整个供应链中的网络安全风险提供了建议。
出版物 - ‘系统和组织的网络安全供应链风险管理实践’(PDF) - 敦促硬件,软件和数字服务的收购方和最终用户对数字产品组件的起源和安全性进行尽职调查。
“If your agency or organization hasn’t started on [C-SCRM], this is a comprehensive tool that can take you from crawl to walk to run, and it can help you do so immediately,” said NIST’s Jon Boyens, co-author of the publication, in a新闻稿。
“基本最佳实践”
攻击者越来越多地针对数字供应链,因为他们可以通过毒害或利用广泛使用的组件中的弱点来损害多个设备,应用程序或组织,而2020年的太阳能袭击了迄今为止最毁灭性的例子。
软件供应链安全专家Sonatype的现场CTO Ilkka Turunen告诉每日swbeplay2018官网ig:“随着下一代供应链攻击的增加,C-SCRM指南正式化了大小组织的许多已知实践。
“它描述了基本的最佳实践,例如生成SBOM(软件材料法案)以及维持有效供应链安全实践所需的维持活动。
他继续说:“这种知识汇编赋予了如何抵御未来的log4shell问题和其他下一代威胁。是...的时候了组织投资以自动化这些流程。”
Synopsys网络安全研究中心的首席安全策略师蒂姆·麦基(Tim Mackey)表示,该文件涵盖的范围远不止SBOM对开源组件的价值。
“软件从多个原始点进入组织,包括开源和API用法。”他告诉每日swbeplay2018官网ig。
“软件运营商,无论该软件本质上是纯粹的开源还是专有开发的结果,都可以有效接受与使用该软件相关的业务风险。
“缓解软件风险始于了解组织如何进行管理和不管理的软件使用情况,并逐步降低这些风险 - 不仅在供应商级别上,而且还与每个新的软件版本和更改相关。”
持续的问题
API安全专家CequenceSecur来log4j。
该公司公司的问题称为“ long4j”,“说明了与现代企业IT基础架构相互联系的方式,以及该数字供应链如何远远超出了已知的应用程序。”
经过改进的NIST指南目前仅作为PDF文档可用,但作者表示,他们打算也发布更具用户友好,可单击的Web版本和针对C-SCRM新组织的快速启动指南。beplay体育能用吗
