NSA 和 CISA分享保護軟體供應鏈安全指南

近日，美國國家安全域性 (NSA) 和網路安全和基礎設施安全域性 (CISA) 釋出了有關保護軟體供應鏈安全指南。

本指南基於持久安全框架ESF(一個致力於解決美國關鍵基礎設施和國家安全系統所面臨威脅的公私合作伙伴關係)設計，彙總了面向軟體開發人員的安全實踐建議。

指南提供了有關如何開發安全程式碼、驗證第三方元件、強化構建環境和安全交付程式碼的詳細資訊。

“該指南是為了幫助開發人員透過行業和政府評估的建議實現安全開發，”NSA表示：“開發人員將從NSA和合作夥伴那裡獲得有關開發安全程式碼、驗證第三方元件、強化開發環境和交付程式碼的有用指導。在所有DevOps都提升為DevSecOps之前，軟體開發生命週期將面臨風險。”

最近幾年，軟體供應鏈安全問題頻現。太陽風(SolarWinds)、Kaseya和GitLab的影響讓人們見識到了軟體供應鏈攻擊的威力有多大。

微軟 2021 年 10 月的一份報告還顯示，自 2021 年 5 月以來，Nobelium 威脅組織在入侵 SolarWinds、攻擊 140 家託管服務提供商 (MSP) 和雲服務提供商並攻擊至少 14 家之後，繼續瞄準全球 IT 供應。

微軟的調查結果表明，軟體供應鏈已成為威脅參與者越來越受歡迎的目標，因為它允許攻擊者破壞單個產品並影響使用它的眾多下游公司。

下圖顯示軟體供應鏈之間的關係，安全軟體開發生命週期(Secure SDLC)是保護軟體供應鏈的一個重要環節。

圖1：軟體供應鏈之間的關係

構建安全的軟體從編寫程式碼開始做起。在SDLC過程中，透過實施切實可行的開發實踐可以幫助開發人員交付更加安全的程式碼並增加產品的安全彈性。

圖2：安全軟體開發過程

對於在軟體開發生命週期中對於出現以下常見威脅：

1. 被故意注入惡意程式碼或開發人員無意引入缺陷程式碼;

2. 在產品中引入存在缺陷或漏洞的第三方原始碼或二進位制檔案;

3. 在軟體構建過程中使用注入惡意軟體的元件;

4. 在交付中中途修改產品導致客戶部署的原始包、更新或升級包中注入惡意軟體。

指南中給出的緩解措施如下：

供應商和開發人員管理團隊應該制定策略，以確保開發團隊有以安全為中心的原則和指 導方針，以便：

生成架構和設計文件，

組建一個訓練有素、合格、值得信賴的開發團隊，

建立軟體產品的威脅模型，

定義並實施安全測試計劃，

定義釋出標準，並根據它來評估產品，

建立產品支援和漏洞處理策略和程式，

評估開發人員的能力和對安全開發過程的理解，並分配培訓，

記錄併發布每個軟體釋出的安全程式和流程。

關於指南更多內容，可從這裡瞭解。