Siber Güvenlik ve Altyapı Güvenliği Ajansı perşembe günü bir rapor yayınladı. yorum talebi Yazılım tedarik zincirini daha güvenli hale getirmeye yönelik daha büyük bir çabanın parçası olarak daha uyumlu bir yazılım tanımlama sisteminin nasıl oluşturulacağı konusunda.
Başkan Joe Biden bir açıklama yayınladığından beri Siber güvenliğin iyileştirilmesine ilişkin idari emir 2021’de CISA ve diğer federal kurumlar, güvenlik açığı yönetimini ve yazılım malzeme listelerinin (SBOM’lar) kullanımını iyileştirerek yazılım güvenliğine öncelik vermek için çalışıyor.
Yorum talebi, yazılım güvenliğini artırmak için gereken kritik bilgilerin izlenmesine yönelik bazı tek tip parametreler oluşturmak üzere tasarlanmıştır. Bilinen güvenlik açıklarına ilişkin bilgiler, hangi hafifletme önlemlerinin veya güvenlik yamalarının mevcut olduğu ve hangi yazılımın kullanılmasının onaylandığı, bu çabanın bir parçasıdır. bir beyaz kağıda göre CISA tarafından yayınlandı.
“Daha fazla otomasyonu, envanter görünürlüğünü ve SBOM’un geniş çapta benimsenmesinin çok yönlü değer teklifini kolaylaştıran uyumlu hale getirilmiş bir yazılım tanımlama ekosistemi için daha sağlam bir yazılım tanımlama ekosistemi kurulmalıdır.” Sandy Radesky, CISA’da güvenlik açığı yönetiminden sorumlu direktör yardımcısıbir açıklamada söyledi.
CISA, aşağıdakiler de dahil olmak üzere birçok önemli konu hakkında yorum bekliyor:
- Etkili bir yazılım tanımlama ekosisteminin gereksinimleri.
- Mevcut tanımlayıcı formatların yararları ve zorlukları.
- Doğal veya tanımlanmış tanımlayıcılara dayalı bir sistemin yaşayabilirliği.
- Bir yazılım tanımlayıcı ekosistemi için merkezi bir otoriteye veya başka bir organa duyulan ihtiyaç.
Teşkilat, böyle bir sistemin önemli unsurlarını belirlemek için İç Güvenlik Sistemleri Mühendisliği ve Geliştirme Enstitüsü’nden uzmanlarla birlikte çalışıyor.
Tüm yorumların 11 Aralık’a kadar alınması gerekmektedir.
Federal yetkililer ayrıca ortak kurallar oluşturacak ve yazılım tanımlamayla ilgili sorumlulukları atayacak küresel bir otorite oluşturmak istiyor.
“Her bir yazılım parçasının nasıl tanımlanacağı konusunda ortak bir anlayış olmadan, otomatik bir şekilde değiştirilebilecek SBOM’lara veya güvenlik açığı ayrıntılarına sahip olmak imkansızdır.” Brian Fox, Sonatype’in kurucu ortağı ve CTO’su, e-posta yoluyla söyledi. “Her satıcının şeker için kendi adı olsaydı gıda etiketlerindeki kaosu hayal edebiliyor musunuz?”