اختصاصی افتانا: آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده با همکاری آژانس امنیت ملی آمریکا و دفتر مدیریت اطلاعات ملی این کشور نشریه ایمن‌سازی زنجیره تأمین نرم‌افزار را منتشر کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Infosecurity، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به تازگی بخش پایانی مجموعه سه بخشی خود را در مورد ایمن‌سازی زنجیره تأمین نرم‌افزار منتشر کرد.

این نشریه که پس از انتشار دستورالعمل‌های آگوست ۲۰۲۲ برای توسعه‌دهندگان و انتشار دستورالعمل‌های اکتبر ۲۰۲۲ برای تأمین‌کنندگان منتشر می‌شود، شیوه‌های توصیه شده را برای مشتریان برای اطمینان از یکپارچگی و امنیت نرم‌افزار در مراحل تهیه و استقرار ارائه می‌کند.

این نشریه با همکاری آژانس امنیت ملی آمریکا (NSA) و دفتر مدیریت اطلاعات ملی (ODNI) منتشر شده است و سناریوهای مختلفی را توصیف می‌کند که عوامل تهدید می‌توانند از آن‌ها سوء استفاده کنند. این عوامل شامل این واقعیت است که الزامات امنیتی در نظر گرفته شده برای مقابله با تهدیدات، مختص این حوزه نیست یا الزامات سازمانی را حذف نمی‌کند و شکاف در تجزیه و تحلیل الزامات امنیتی ممکن است منجر به عدم تطابق راه حل یا کنترل‌های امنیتی انتخاب شده شود.

CISA در این باره نوشت: «نارسایی‌های امنیتی عمومی ممکن است زمانی که یک محصول به درستی محافظت نمی‌شود، زمانی که مشتری با موقعیت جغرافیایی مشکوک و ابرداده‌ها مرتبط است، یا زمانی که مشتری مشکوک به ارتباط با منافع خارجی است، غالب شود.»

این آژانس مجموعه‌ای از توصیه‌ها را برای کمک به کاهش آسیب‌پذیری‌ها در مرحله تدارکات و تملک ارائه کرد.

از جمله آن‌ها می‌توان به به‌روز نگه داشتن الزامات امنیتی و ارزیابی ریسک با استفاده از فرآیندهای تجاری و نیاز به حفاظت و کنترل کافی موقعیت جغرافیایی همه داده‌ها و ابرداده‌ها را نام برد.

علاوه بر این، شرکت‌ها باید نقش‌های فردی را برای تأیید الزامات امنیتی سازمانی و دامنه خاص اختصاص دهند و تعاریف نمایه ریسک را با حوزه‌های مأموریت و سازمانی هماهنگ کنند.

سونیل یو، مدیر ارشد امنیت اطلاعات در JupiterOne گفت: تولید نرم‌افزار معمولاً توسط صنعت انجام می‌شود، بنابراین نیروهای صنعتی وجود خواهند داشت که در برابر تولید صورتحساب‌های نرم‌افزاری مواد (SBOM) مقاومت می‌کنند. از آنجایی که هم صنعت و هم دولت نرم‌افزار مصرف می‌کنند، حمایت از SBOMهای اشتراکی به نفع هر دو صنعت و دولت است. با این حال، ما شاهد مقاومت کمتری در داخل دولت خواهیم بود.

CISA همچنین گفت که الزامات امنیتی برای تمام خریدها نیز باید ایجاد شود. هنگام خرید نرم‌افزار از طریق نهادهای خارجی یا تأمین‌کنندگان شخص ثالث، مشتریان باید نظارت مستمر بر کل محاسبه مدیریت ریسک زنجیره تامین (SCRM) و همچنین کنترل‌های مناسب برای کاهش تغییرات در مفروضات و خطرات امنیتی را اجرا کنند.

ملیسا بیشوپینگ، مدیر تحقیقات امنیت نقطه پایانی در Tanium، اظهار داشت: کاربران محصولات شخص ثالث باید یک موجودی دقیق با راه حل های SBOM برای درک وابستگی‌ها و خطرات داشته باشند. در حالی که ما امیدواریم ارائه‌دهندگان نرم‌افزار بیشتری مستندات واضح و شفافی از وابستگی‌ها و کتابخانه‌ها ارائه دهند، SBOM ابزار قدرتمندی است که می‌تواند بینش مهمی را هنگام ظهور آسیب‌پذیری‌ها ارائه دهد.

دستورالعمل‌های امنیتی زنجیره تأمین نیز ماه گذشته توسط مرکز امنیت سایبری ملی (NCSC) در بریتانیا منتشر شده است.
منبع: Infosecurity