NIST發布最新版軟件供應鏈安全指導
責編:gltian |2022-02-21 16:14:32
日前,美國國家標準與技術研究所(NIST)發布了關于確保軟件供應鏈安全的最新指導,以響應拜登政府旨在加強國家網絡安全的行政令。NIST建議美國企業采取一系列最起碼的安全措施,包括統一軟件供應鏈報告語言,并要求對軟件使用和開發方面的安全實踐進行證明。
據Rain Capital公司執行事務合伙人兼Secure Code Warrior技術顧問委員會成員Chenxi Wang博士稱,網絡安全領導者可能需要在企業風險管理戰略方面實施文化轉變,以便采用這些指導方針。Wang博士表示:“《設計可信賴的安全系統》的最新草案明確了開展主動風險管理的重要性,包括緩解系統和軟件中的漏洞。這需要軟件工程師遵循安全設計原則,并提升這方面的技能,這應該是安全培訓方面的基礎學習。”
“企業安全領導者可以通過優先考慮代碼級質量和安全,讓開發人員通過安全計劃創新為成功開發做好準備,從而為整個企業樹立榜樣。開發人員在培養高度相關的技能方面獲得支持,有助于其了解安全最佳實踐的重要性,并有助于其發揮作用。” Wang博士補充道,由于專注于開發方面的網絡安全,企業首席信息安全官(CISO)可能要隨勢而變,調整和加強與IT團隊和軟件開發團隊的關系,以便于企業在軟件開發生命周期一開始就重視安全。
Wang博士說:“CISO們對于開發團隊在安全方面的潛力,以及他們為保護企業免受重大數據泄密事件所做的工作越來越感興趣。從這個意義上說,我認為軟件開發人員的困境及其優先事項會得到企業其他人的理解。這反過來將幫助CISO們學習、了解和尋找更合適的工具、培訓和流程,以幫助他們迅速做好安全工作。”
參考鏈接:
https://www.securitymagazine.com/articles/97082-nist-updates-software-supply-chain-security-guidance