SolarWinds yazılım tedarik zinciri saldırısından alınan dersler, bu hafta ABD Siber Güvenlik ve Altyapı Ajansı (CISA), Ulusal İstihbarat Direktörü Ofisi (ODNI) ve Ulusal Güvenlik Ajansı (NSA) ortak bir yayın yayınladığında somut rehberliğe çevrildi. geliştiricilerin gelecekteki tedarik zinciri saldırılarından kaçınmaları için en iyi uygulamalar çerçevesi.
ABD hükümetinin tavsiyelerinin yanı sıra, geliştiriciler ayrıca npm En İyi Uygulamalar Tedarik zinciri güvenliği açık kaynak en iyi uygulamalarını oluşturmak için Açık Kaynak Güvenliği Vakfı’ndan.
Ajanslar, yayın hakkında “Yazılımımızın güvenliği konusunda kritik bir sorumluluğa sahiptir” dedi. Geliştiriciler için Yazılım Tedarik Zincirinin Güvenliğini Sağlama. “ESF, SolarWinds saldırısına yol açan olayları incelerken, yazılım geliştiricinin ihtiyaçlarına odaklanan bir dizi en iyi uygulama oluşturmaya yatırım yapılması gerektiği açıktı.”
Bu arada OpenSSF’nin duyurusu, npm kod deposunun 2.1 milyon paket içerecek şekilde büyüdüğünü kaydetti.
Security Journey için uygulama güvenliği direktörü Michael Burch gibi geliştiriciler, endüstrinin proaktif yaklaşımını alkışlıyor, ancak Burch, özellikle yazılım malzeme listelerinin (SBOM’ler) uygulanması için bir öneri olmak üzere bu yönergeleri uygulamaya koymanın artık siber güvenlik sektörüne bağlı olduğunu ekliyor. ).
Burch, “Şu anda ihtiyacımız olan şey, AppSec topluluğunun bu kılavuzun arkasında bir araya gelmesi ve yazılım tedarik zinciri güvenliğini artırmak için SBOM’lar için standart bir biçim ve uygulama oluşturmasıdır.” Dedi.