3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , Devlet
Uzmanlar, Yeni Yönergelerin Güvenliği Artırmaya Yönelik ‘Kesinlikle Önemli’ Adımlar İçerdiğini Söyledi
Chris Riotta (@chrisriotta) •
19 Şubat 2024
ABD federal hükümetinin yazılım tedarik zincirlerinin güvenliğini sağlamaya yönelik tavsiyeleri genel olabilir; ancak uzmanlar, Ulusal Standartlar ve Teknoloji Enstitüsü tarafından Çarşamba günü yayınlanan kılavuzun, güvenliği yazılım geliştirme yaşam döngüsünün her aşamasına entegre etmek için gerçek somut adımlar sunduğunu söylüyor.
Ayrıca bakınız: Araştırma Anketi Analizi: 2024’te Üçüncü Taraf Tedarik Zincirinizi Güvenceye Alma
NIST kısa süre önce yazılım sağlayıcıları için tedarik zinciri güvenliği güvencelerinin yapı taşlarının sürekli entegrasyon ve sürekli teslimat hatlarına uygulanmasına yönelik nihai yönergeleri olan SP 800-204D’yi yayınladı. Kılavuz, üreticilerin, açık kaynak yazılımın entegrasyonu için temel güvenlik gereksinimlerinin belirlenmesi ve kaynak verilerinin gözetiminin genişletilmesi de dahil olmak üzere, bir dizi eyleme dönüştürülebilir önlemi önceliklendirmesini tavsiye ediyor.
Taslak sürümün ilk kez Eylül ayında yayınlanmasından bu yana NIST SP 800-204D’yi takip eden yazılım güvenlik firması Endor Labs’ın araştırmacısı Henrik Plate, “Bu çerçeve tam zamanında geliyor” dedi.
Kılavuzda, NIST’in Güvenli Yazılım Geliştirme Çerçevesi ve idarenin 2021’de yayınladığı siber güvenlik yönetim emri, endüstri ve paydaşlardan gelen girdilerle birlikte en son öneriler dizisine temel oluşturacak bir yol haritası olarak açıklanıyor. Plate’e göre, SSDF gibi önceki yönergeler yalnızca belirli yazılım geliştirme yaşam döngüleri ve teknolojilerinden bağımsız olan yüksek düzeyde güvenli geliştirme uygulamaları sağlıyordu.
Plate, Information Security Media Group’a verdiği demeçte, yeni kılavuzun üreticilere tedarik zinciri güvenliğini artırmak için, bilinen zayıf sürümler ve kötü amaçlı yazılımlar için bağımlılıkların sürekli taranması gibi ayrıntılı bir dizi önlem sağlayarak “bir adım daha ileri gittiğini” söyledi. Tedbirlerin “boru hattının yürütülmesi sırasında gerçekleştirilmesi gereken” “kesinlikle hayati” adımlar olduğunu söyledi.
Federal yazılım sağlayıcılarının yakında, sistemlerinin SSDF ve NIST tarafından geliştirilen diğer standartlara uygun olarak güvenli bir şekilde geliştirildiğini doğrulamak için Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından geliştirilen bir öz tasdik formunu imzalamaları gerekecek. SSDF, sağlayıcılara “yazılımın tüm bileşenlerini kurcalamaya ve yetkisiz erişime karşı koruyabilmelerini” ve kritik güvenlik açıklarına uygun şekilde yanıt verebilmelerini sağlama görevini veriyor, ancak bazı eleştirmenler çerçevenin bu talepleri tam olarak uygulamak için gereken daha fazla teknik ayrıntıya sahip olmadığını söylüyor.
Yönetim ve Bütçe Dairesi, Haziran ayında federal hükümetin yüklenicilerden onay formları toplamaya başlaması için verilen son tarihi erteledi ve hangi kurumların yazılım sağlayıcılarından toplama yetkisinin bulunduğunu ayrıntılarıyla açıklayan bir notta ek bilgi sağladı. OMB’ye göre, kurumların tüm üçüncü taraf yazılım bileşenlerinin üreticilerinden ziyade yalnızca “yazılım son ürününün üreticisinden” onay toplamaları gerekecek.
Kurumların onayları toplamaya ne zaman başlaması gerekeceği henüz belli değil. Bir sonraki resmi adım, Beyaz Saray’ın CSIA formunu Evrak İşlerini Azaltma Yasası olarak bilinen bir yasa kapsamında onaylaması olacak; bunun ardından kritik yazılım sağlayıcılarının formları göndermeye başlamak için üç ayı, diğer sağlayıcıların ise altı ayı olacak. OMB, Beyaz Saray’ın formu incelemeyi veya onaylamayı planladığı zamana ilişkin bir zaman çizelgesi belirlemedi ve yorum talebine yanıt vermedi.
Plate, kılavuzun özellikle “şimdilik ertelenen ancak bir noktada federal kurumlar için yazılım tedarikçilerinin SSDF’ye bağlılıklarını beyan etmelerini gerektirecek olan yaklaşan öz tasdik bağlamında” yararlı olduğunu söyledi.
Kılavuz, SSDF’ye bağlılıklarını beyan etmek isteyen federal yazılım yüklenicilerinin beklentilerini açıklığa kavuşturuyor ve sağlayıcıların güvenliği yazılım yaşam döngüleri boyunca ve CI/CD işlem hatlarına entegre etmelerini sağlayacak adımları içeriyor. Adımlar, rollerin ve sorumlulukların tanımlanmasını, yazılım geliştirmenin oluşturma aşamaları boyunca yalıtılmış platformların kullanılmasını ve uygun araçların dağıtılmasıyla tüm CI/CD hattının otomatikleştirilmesini içerir.
Kılavuz aynı zamanda yazılım sağlayıcılarını işlem hatlarını taramak, bütünlük testleri yürütmek ve depoları ve kaynak kodu yönetim sistemlerini denetlemeye yardımcı olmak için otomatik araç ve tekniklere yoğun yatırım yapmaya teşvik ediyor.
Endor Labs baş güvenlik mimarı ve araştırma ekibi üyesi Chris Hughes’a göre kılavuz, “yalnızca yazılımın son ürünü değil aynı zamanda geliştirme süreçleri, makineler, kullanıcılar ve buna dahil olan diğer kişiler hakkında da güvence sağlamak” yönündeki daha geniş çağrılarla uyumludur. Tedarik zinciri güvenliğine odaklanan Siber Güvenlik ve Altyapı Güvenliği Ajansı.
CISA, siber güvenlik riskini son kullanıcılardan yazılım geliştiricilere aktarma çabalarına öncülük etti ve yakın zamanda FBI ile birlikte, üreticilerin güvenlik yükünü yazılım yaşamına dahil ederek güvenlik yükünü müşterilerden nasıl uzaklaştırabileceğine odaklanan “tasarım gereği güvenli uyarıları” yayınlamaya başladı. döngü.