作为改善网络安全持续努力的一部分,拜登-哈里斯政府宣布已批准了一份安全软件开发认证表。
该表格由 CISA 和管理和预算办公室 (OMB) 于 2024 年 3 月 11 联合发布,任何提供政府将使用的软件的公司都需要填写该表格。它将有助于确保该软件是由优先考虑安全性的公司开发的。
Endor Labs 首席安全顾问兼 CISA 网络创新研究员 Chris Hughes 表示:“表格中的要求代表了一些基本的安全开发实践,希望向联邦政府出售软件的供应商如果想参与联邦监管的生态系统,就应该能够满足这些要求。”
表格中的要求之一是软件必须在安全的环境中开发。这包括分离生产和开发环境,最大限度地减少代码中不安全产品的使用,跨环境强制执行多因素身份验证,加密敏感数据,实施持续监控和警报等防御实践,以及定期记录、监控和审核信任关系。
“分离开发和生产环境、实施日志记录和 MFA 等做法是任何现代安全软件开发环境中都应该存在的关键安全控制措施。”
另一个要求是通过使用自动化工具监控第三方代码并维护内部代码和第三方组件的来源,真诚地努力维护可信的供应链。它还需要定期使用自动化工具来检查安全漏洞,包括制定披露和解决已知漏洞的策略。
然而 Hughes 认为,这种形式缺少一些元素。例如,它不需要使用威胁建模或内存安全,而这正是 CISA 一直在推动的事情。他表示,它还允许首席执行官指定其他人在证明上签字,以便在出现问题或证明造假时作为潜在的替罪羊。
“一方面,我们听说网络安全需要成为董事会的议题,CISA 甚至呼吁高管层参与其有关安全设计/默认的出版物;但另一方面,这种形式允许将这一关键认证活动委托给某人组织中的其他人,并可能使其无法被最高管理层/首席执行官和执行领导团队看到。”
Hughes 认为,最难满足认证要求的软件生产商是那些尚未实施安全软件开发实践的软件生产商。
“他们需要评估当前的开发实践,找出缺陷并实施纠正计划。这当然需要时间和资源,而规模较小的初创公司和不成熟的组织获得这些时间和资源的机会有限,尤其是面对对上市速度、收入、投资者回报、功能速度等方面的竞争需求。”
CISA 的在线表单提交存储库 (https://softwaresecurity.cisa.gov) 预计将于 2024 年 3 月下旬提供。
