Dalış Özeti:
- Siber Güvenlik ve Altyapı Güvenliği Ajansı geliştirme uygulamalarındaki büyük değişiklikler yoluyla yazılım güvenliğini iyileştirmeye yönelik küresel çaba hakkında yorum istiyor.
- bilgi talebiÇarşamba günü yayınlanan, güvenliğin yazılım geliştirme yaşam döngüsüne en iyi şekilde nasıl dahil edilebileceği konusunda girdi arıyor. CISA özellikle, tekrarlanan yazılım açıklarının nasıl ele alınacağı, yüksek öğrenimde güvenliğin nasıl uygulanacağı, operasyonel teknolojide güvenliğin nasıl artırılacağı ve güvenli uygulamaların maliyetleri nasıl etkileyebileceği konusunda girdi istiyor.
- CISA Direktörü Jen Easterly duyuruda şunları söyledi: “Teknolojinin tasarım gereği emniyetli ve emniyetli olduğu bir geleceği ileriye taşıma hedefimiz, her teknoloji üreticisinin eyleme geçmesini ve her tüketicinin net talebini gerektirir; bu da bizim titizlikle girdi aramamızı ve dahil etmemizi gerektirir.” .
Dalış Bilgisi:
CISA, sektörü aktif olarak tasarım ilkeleriyle güvenliği benimsemek Biden yönetiminin güvenliği yazılım geliştirmenin temel bir özelliği haline getirme yönündeki daha büyük çabasının bir parçası olarak.
Kötü niyetli bilgisayar korsanları ve ulus devlet saldırganları, çoğu durumda, eski sürümleri kullanmaya devam eden veya acil güvenlik yamalarını uygulamayan müşterilerin açıkta bıraktığı yazılımlardaki kritik güvenlik açıklarından yararlanarak saldırılar başlattı.
Örneğin büyük şirketler gibi Boeing’in Ve Comcast’in Xfinity’si Geniş bant eğlence sektörü, kritik bir arabellek taşması güvenlik açığından yararlanan kötü niyetli bilgisayar korsanları tarafından vuruldu. Citrix Netscaler dublajlı CitrixBleed.
Tasarım gereği güvenli plan hakkında bilgi sahibi bir kaynak, yazılım üreticilerinin bu çabaya destek verdiklerini ancak CISA’nın hâlâ daha resmi girdilere ihtiyacı olduğunu söyledi.
Bu ayın başlarında IT-ISAC, bulut ve kritik SaaS sağlayıcılarının, CISA’nın daha büyük tasarım gereği güvenlik vurgusunun bir parçası olan varsayılan olarak güvenli ilkeleri benimsemesi çağrısında bulunan bir teknik inceleme yayınladı.
Guidewire Software’in CISO’su ve IT-ISAC raporunun ortak yazarı James Dolph, “Varsayılan olarak güvenlik, birçok yazılım geliştiricinin çıktığı bir yolculuktur” dedi. “Bu makaleyle ilgili umudumuz, mühendislerin, kullanıcı deneyimi profesyonellerinin ve güvenlik ekiplerinin müşterileri ve diğer kullanıcılar için daha iyi sonuçlar elde etmek için çalışabilmesi için hedefi daha net bir şekilde tanımlayabilmemizdir.”
Arasında önerilen değişiklikler, bulut şirketleri varsayılan olarak çok faktörlü kimlik doğrulamayı başlatmak, sırları otomatik olarak döndürmek veya yükseltilmiş erişim ayrıcalıklarına zaman kısıtlamaları koymak gerekebilir.
RFI’ye yanıtların 20 Şubat’a kadar verilmesi gerekiyor.