国家安全局 (NSA)、网络安全和基础设施安全局 (CISA) 和国家情报总监办公室 (ODNI)在9月1日发布了《为开发人员保护软件供应链》英文原名《SECURING THE SOFTWARE SUPPLY CHAIN》 。该指南提出通过持久安全框架 (ESF) — 一个由 NSA 和 CISA 领导的公私跨部门工作组,提供网络安全指导,解决对国家关键基础设施的高优先级威胁。
NSA认为开发人员对软件的安全性负有重要责任。当 ESF 检查导致 SolarWinds 攻击的事件时,很明显需要投资来创建一组专注于软件开发人员需求的最佳实践。为开发人员保护软件供应链的创建旨在帮助开发人员通过行业和政府评估的建议实现安全。本指南整合了已发布的宝贵资源,供开发人员使用。
随着网络威胁继续变得更加复杂,对手已经开始攻击软件供应链,而不是依赖公开的漏洞。这种供应链妥协允许恶意行为者在看似未被发现的网络中移动。为了应对这种威胁,网络安全社区需要专注于保护软件开发生命周期。
开发人员将从 NSA 和合作伙伴处获得有关开发安全代码、验证第三方组件、强化构建环境和交付代码的有用指导。在所有 DevOps 都成为 DevSecOps 之前,软件开发生命周期将处于危险之中。
每个人必须尽自己的一份力量来保护网络,安全性不仅适用于开发人员,这也是 ESF 还将为供应商和客户软件发布本指南版本的原因。
《为开发人员保护软件供应链》英文原名《SECURING THE SOFTWARE SUPPLY CHAIN》在线阅读及下载地址:
https://media.defense.gov/2022/Sep/01/2003068942/-1/-1/0/ESF_SECURING_THE_SOFTWARE_SUPPLY_CHAIN_DEVELOPERS.PDF