美国 CISA 公布开发安全软件的新建议

美国网络安全与基础设施安全局 (CISA) 发布了一份新的信息技术 (IT) 行业特定目标 (SSG)。

据该组织称，IT SSG 是对跨部门网络安全绩效目标 (CPG) 的补充，并提供“具有高影响力安全行动的额外自愿实践”。组织可以使用它们来提高其软件开发实践的安全性。

该列表分为软件开发过程的目标和产品设计的目标。软件开发过程目标包括：

• 分离软件开发中使用的所有环境
• 定期记录、监控和审查用于跨软件开发环境授权和访问的信任关系
• 在软件开发环境中实施多重身份验证 (MFA)
• 建立并执行跨软件开发环境使用的软件产品的安全要求
• 安全地存储和传输软件开发环境中使用的凭证
• 实施有效的周边和内部网络监控解决方案，并通过精简的实时警报帮助应对疑似和确认的网络事件
• 建立软件供应链风险管理计划
• 向客户提供软件物料清单 (SBOM)
• 通过自动化工具或类似流程检查源代码中的漏洞，并在发布任何产品、版本或更新版本之前缓解已知漏洞
• 在产品发布之前解决已发现的漏洞
• 发布漏洞披露政策

产品设计目标包括：

• 增加多因素身份验证的使用
• 减少默认密码
• 减少各类漏洞
• 及时为客户提供安全补丁
• 确保客户了解产品何时接近使用寿命终止支持，何时不再提供安全补丁
• 在组织产品的每个常见漏洞和暴露 (CVE) 记录中包括常见弱点枚举 (CWE) 和常见平台枚举 (CPE) 字段
• 提高客户收集影响组织产品的网络安全入侵证据的能力

Endor Labs 首席安全顾问兼 CISA 网络创新研究员 Chris Hughes 表示：“这些都是基本的安全实践，反映了其他来源中的安全实践，例如 CISA 的安全设计承诺和安全设计/默认指南以及 NIST 的安全软件开发框架 (SSDF)。它们是大多数组织都应该遵循的良好提醒和可靠的网络卫生建议，尤其是那些在 IT 和以产品为中心的开发环境中的组织，这对下游客户和消费者都有影响。”