RSA KONFERANSI 2023 – San Francisco – 60’tan fazla tedarikçi sözleşmeyi imzaladı tasarım taahhüdü ile güvence altına alınSiber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) öncülüğünde güvenli ürünler geliştirme taahhüdü.
CISA tasarım gereği güvenliği tanımlar “Müşterilerin güvenliği yalnızca teknik bir özellik değil, temel bir iş gereksinimidir.” Bu ilkeleri benimseyen şirketler, güvenliği tasarım aşamasında ve ürün yaşam döngüsü boyunca dikkate almayı vaat ediyor. daha dayanıklı ürünler yaratın.
Amaç, güvenlik sorumluluğunu bireylere ve küçük işletmelere yüklemek yerine, sorumluluğu ürünleri üreten üreticilere yüklemektir. Gönüllü taahhüt, bulut hizmetleri, hizmet olarak yazılım ve şirket içi yazılımlar da dahil olmak üzere kurumsal yazılım ürünlerine ve hizmetlerine odaklanıyor.
CISA Direktörü Jen Easterly, RSA Konferansı’nda şunları söyledi: “Bu odadaki herkesin sadece hissettiği değil aynı zamanda son derece farkında olduğu gerçek bir aciliyet var ve bu tamamen yeni geliştirme ve eski teknolojiler ile yazılımları yenilemeyle ilgili, güvenliği temel bir konu olarak ele almakla ilgili.” Bu hafta San Francisco’dayız.
Gönüllü taahhüt, bulut hizmetlerini, hizmet olarak yazılımı ve şirket içi yazılımı içeren kurumsal yazılım ve hizmetlere odaklanıyor. Taahhüdü imzalayanlardan yedi temel hedefi dikkate almaları ve bir yıl içinde bu hedeflere ulaşma yolunda ilerleme kaydettiklerini göstermeleri isteniyor. İlerlemeyi nasıl gösterdikleri ve hedeflere ulaşma sırası şirketlere bağlıdır ve yetersiz kalmanın herhangi bir cezası yoktur.
-
Ürünler genelinde çok faktörlü kimlik doğrulamanın kullanımını artırın.
-
Ürünlerde varsayılan şifrelerin kullanımını azaltın.
-
Tüm güvenlik açığı sınıflarının yaygınlığını azaltın.
-
Müşterilerin yama yüklemesini artırmak için çaba gösterin.
-
Bir güvenlik açığı açıklama politikası yayınlayın.
-
Yaygın güvenlik açıkları ve riskler (CVE’ler) konusunda daha şeffaf olun ve zamanında olun.
-
Müşterilerin “üreticinin ürünlerini etkileyen siber güvenlik ihlallerine ilişkin kanıt toplama” becerisini artırın.
CISA, Tasarım Yoluyla Güvenli çalışmasını geçen yılın Nisan ayında başlattı ve “yazılım üreticilerini, tasarım gereği güvenli ürünler göndermek için gerekli acil adımları atmaya ve tasarım ve geliştirme programlarını, yalnızca tasarım gereği güvenli ürünlerin müşterilere gönderilmesine izin verecek şekilde yenilemeye” teşvik etti. Bu yılın başlarında CISA, yazılım üreticilerinin ürünlerine ilişkin güvenlik ayrıntılarını sağlamak için kullanabilecekleri bir kişisel doğrulama formu ve veri deposu yayınladı. Federal kurumlar, satın aldıkları yazılımın güvenli geliştirme uygulamaları kullanılarak oluşturulduğundan emin olmak için bilgilere bakabilirler.
Amazon Web Services, BlackBerry, Cisco, Crowdstrike, Fortinet, GitHub, Google, Hewlett Packard, IBM, Ivanti, Lenovo, Microsoft, Netgear, Okta, Palo Alto Networks bu taahhüdü imzaladı.
“Devlet bunu tek başına yapamaz, özel sektör bunu tek başına yapamaz. Topluluğu bir araya getirmeliyiz,” dedi CISA Direktörü Jen Easterly bu hafta San Francisco’daki RSA Konferansında.