I funzionari federali sostengono che i creatori di software debbano dare priorità alla sicurezza delle loro catene di sviluppo
In maggio 2021, il Presidente Joe Biden ha firmato l'Ordine Esecutivo 14028, stabilendo nuovi requisiti per la sicurezza della catena di fornitura del software. Questo passo è stato intrapreso in risposta a una serie di storici attacchi ransomware e alla campagna SolarWinds, che hanno evidenziato la mancanza di visibilità delle infrastrutture digitali degli Stati Uniti.
La campagna SolarWinds, durata più di un anno, ha sottolineato la necessità di un maggiore controllo sull'infrastruttura critica della nazione. L'amministrazione si è concentrata heavily su questo problema dopo il compromesso della catena di fornitura SolarWinds nel 2020.
Le nuove linee guida, sviluppate attraverso il Quadro di Sicurezza Duratura (ESF), un gruppo di lavoro pubblico-privato guidato dall'Agenzia per la Sicurezza Nazionale (NSA) e dall'Agenzia per la Sicurezza delle Infrastrutture Critiche (CISA), mirano a prevenire ulteriori attori malintenzionati dall'esploitare difetti del software per rubare dati sensibili, estorcere grandi aziende statunitensi o disturbare industrie critiche.
Le linee guida sono le prime di una serie di tre parti. Forniscono consigli esperti sulla sviluppo e costruzione di codice sicuro, verifica dei componenti di terze parti e rafforzamento dell'ambiente di costruzione. Queste misure sono progettate per aiutare i sviluppatori a migliorare le loro pratiche per evitare futuri attacchi di stato-nazione catastrofici.
Le linee guida si integrano con il Quadro di Sviluppo del Software Sicuro pubblicato dall'Istituto Nazionale di Standard e Tecnologia quest'anno. Si allineano anche con l'iniziativa Secure by Design di SolarWinds, che include principi come il rafforzamento dell'ambiente di costruzione del software.
La società di cybersecurity privata FireEye Mandiant ha scoperto e segnalato l'attacco SolarWinds in dicembre 2020. Da allora, SolarWinds ha collaborato con il governo e l'industria tecnologica per stabilire partnership pubblico-privati per proteggere l'infrastruttura digitale.
È importante notare che gli sviluppatori hanno un ruolo chiave nella sicurezza del software che creano, ma potrebbero non avere sempre competenze in valutazione del rischio e protezione dalle minacce. Le linee guida mirano a colmare questo divario, fornendo passaggi chiari e concreti per gli sviluppatori per garantire la sicurezza del loro software.
Le due linee guida aggiuntive, destinate ai fornitori e ai clienti di software, sono previste per il rilascio futuro, ma non sono state fornite date di pubblicazione specifiche nelle informazioni disponibili.
Il tempismo del rilascio delle linee guida sulla sicurezza del software è correlato al rilascio dell'Ordine Esecutivo 14028. Le autorità federali, tra cui l'NSA e la CISA, hanno anche rilasciato linee guida sulla sicurezza del software. L'Agenzia per la Sicurezza Nazionale ha citato sia le vulnerabilità SolarWinds che Log4j, notando che il problema ha portato a una maggiore consapevolezza della sicurezza della catena di fornitura del software.
In conclusione, le nuove linee guida sulla sicurezza del software mirano a rafforzare l'infrastruttura digitale degli Stati Uniti fornendo passaggi chiari e concreti per gli sviluppatori per garantire la sicurezza del loro software. Le linee guida sono una risposta a una serie di storici attacchi ransomware e alla campagna SolarWinds e sono parte di un dibattito in corso nell'industria del software e della sicurezza delle informazioni su quando affrontare i difetti di sicurezza.
Leggi anche:
- Capitale europea dell'imprenditorialità giovanile al Gen-E Festival 2025 ad Atene
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
- Licenze di scommesse sportive per dispositivi mobili concesse a DraftKings e Circa per il lancio a dicembre nel Missouri
- Informazioni sui programmi di Medicare e di trattamento con oppiacei (OTP)
