Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Biden yönetimi uzun zamandır beklenen güvenli yazılım geliştirme onay formunu onayladıülkenin yazılım tedarik zincirini daha sağlam yaptırım mekanizmaları yoluyla güvence altına almaya yönelik yıllar süren çabanın bir parçası.
Siber Güvenlik ve Altyapı Güvenliği Ajansı ile Yönetim ve Bütçe Ofisi'nin Pazartesi günü yayınladığı form, ABD hükümetiyle çalışan yazılım üreticilerinin güvenli geliştirme standartlarına uymasını sağlamak için tasarlandı.
Federal CISO ve ulusal siber direktör yardımcısı Chris DeRusha ve CISA siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein, “Yazılım, hükümetimizin Amerikan halkı adına sunduğu neredeyse her hizmetin temelini oluşturuyor” dedi. Pazartesi günü yayınlanan bir blog yazısında söyledi.
İki yetkili, Sunburst tedarik zinciri saldırısının ardından ülkenin siber güvenliğini desteklemek için tasarlanan bir dizi tedbire yol açan 14028 sayılı Başkanlık Kararnamesine atıfta bulundu. Saldırıya atfedilen devlet bağlantılı tehdit aktörü Nobeliumçok sayıda SolarWinds müşteri ortamını etkileyen uzlaşmalara yol açtı.
CISA, tasdik formunda kapsamlı sektör girdisi aradı. güvenli geliştirme uygulamalarına yönelik minimum standartlara uymak için federal kurumlarla çalışan şirketler.
İstenilen bilgilerin sağlanamaması Formdaki herhangi bir değişiklik, ajansın söz konusu yazılımı artık kullanmamasına neden olabilir. Kasıtlı olarak yanlış veya yanıltıcı bir açıklama aynı zamanda ceza kanunlarını da ihlal edebilir.
Synopsys Software Integrity Group yazılım tedarik zinciri risk stratejisi başkanı Tim Mackey, e-posta yoluyla şunları söyledi: “Onay artık satın alma veya yenileme süreci sırasında uygulanacak zor bir gerekliliktir.”
Endor Labs'ın güvenlik baş danışmanı Chris Hughes'a göre, yönergelerde yer alan güvenli uygulamalar arasında üretim ve geliştirme ortamlarının ayrılması, çok faktörlü kimlik doğrulamanın kullanılması, düzenli kayıt tutma ve izleme ve diğer faktörler yer alıyor.
Hughes, e-posta yoluyla şunları söyledi: “Bu, şu anda veya federal hükümete satış yapmak isteyen ve temel temel güvenli geliştirme uygulamalarını benimsemek isteyen yazılım tedarikçileri arasında sistemik değişiklikleri zorlayacaktır.”