Агентство кібербезпеки США опублікувало 11 рекомендацій для процесу розробки програмного забезпечення

Агентство кібербезпеки та безпеки інфраструктури США (CISA) опублікувало список з 11 рекомендацій для захисту від кіберзагроз у процесі розробки програмного забезпечення та 7 рекомендацій для безпеки продукту. Про це повідомляє InfoWorld з посиланням на сайт CISA.

Поради Агентства базуються на оперативних даних CISA та дослідженні поточної картини загроз. Найголовнішою рекомендацією процесу розробки програмного забезпечення є розділення всіх середовищ, які використовуються в роботі, включаючи IDE, збірки, тести та розгортання, щоб запобігти несанкціонованому доступу до конфіденційних даних і систем. 

Що стосується безпеки продукту, то тут акцент робиться на розширення використання багатофакторної автентифікації (MFA), щоб зменшити ризик злому або використання слабких паролів. 

Повний список рекомендацій безпеки для процесу розробки програмного забезпечення:

1. Відокремте всі середовища, які використовуються для розробки програмного забезпечення.
2. Регулярно реєструйте, відстежуйте та переглядайте довірчі відносини, які використовуються для авторизації та доступу в середовищах розробки програмного забезпечення.
3. Застосуйте багатофакторну автентифікацію (MFA) у середовищах розробки програмного забезпечення.
4. Встановіть і забезпечте вимоги безпеки для програмних продуктів, які використовуються в середовищах розробки програмного забезпечення.
5. Безпечно зберігайте та передавайте облікові дані, які використовуються в середовищах розробки програмного забезпечення.
6. Впроваджуйте ефективні рішення для моніторингу периметра та внутрішньої мережі з оптимізованими оповіщеннями в реальному часі, щоб допомогти реагувати на підозрювані та підтверджені кіберінциденти.
7. Створіть програму управління ризиками ланцюжка постачання програмного забезпечення.
8. Зробіть список матеріалів програмного забезпечення (SBOM) доступним для клієнтів.
9. Перевірте вихідний код на наявність вразливостей за допомогою автоматизованих інструментів або подібних процесів і пом’якшіть відомі вразливості перед будь-яким випуском продуктів, версій або оновлень.
10. Усуньте виявлені вразливості до випуску продукту.
11. Опублікуйте політику розкриття вразливостей.

Повний список рекомендацій для безпеки програмного продукту:

1. Збільште використання багатофакторної автентифікації (MFA).
2. Зменшіть кількість паролів за замовчуванням.
3. Зменшіть цілі класи вразливостей.
4. Своєчасно надавайте клієнтам виправлення безпеки.
5. Переконайтесь, що клієнти розуміють, коли термін служби продуктів закінчується, і виправлення безпеки більше не надаватимуться.
6. Включіть поля переліку загальних слабких місць (CWE) і переліку загальних платформ (CPE) у кожен запис про виявлення загальних вразливостей (CVE) для продуктів організації.
7. Розширення можливостей для клієнтів збирати докази втручання в кібербезпеку, які впливають на продукти організації.