美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA) 今天发布了有关保护软件供应链的提示。
本指南由持久安全框架 (ESF)(一个致力于解决对美国关键基础设施和国家安全系统的威胁的公私合作伙伴关系)设计,作为软件开发人员的建议实践集合。
“为开发人员保护软件供应链的创建是为了帮助开发人员通过行业和政府评估的建议实现安全,”国防部情报机构表示。
“开发人员将从 NSA 和合作伙伴那里获得有关开发安全代码、验证第三方组件、强化构建环境和交付代码的有用指导。在所有 DevOps 都成为 DevSecOps 之前,软件开发生命周期将面临风险。”
ESF 将发布另外两个与软件供应链生命周期相一致的建议,本系列中的其他两个部分侧重于软件供应商和客户。
您可以在今天的公告 [ PDF ]中找到有关如何开发安全代码、验证第三方组件、强化构建环境和安全交付代码的详细信息。
该指南是在最近备受瞩目的网络攻击(如SolarWinds 黑客攻击)突显了软件供应链中的弱点之后发布的,这些弱点是由民族国家支持的威胁组织可以轻松利用的。
在FireEye披露其网络于 2020 年 12 月遭到破坏后,SolarWinds 供应链攻击的滚雪球效应导致多个美国政府机构遭到破坏,拜登总统于 2021 年 5 月签署了一项行政命令,以使该国对网络攻击的防御现代化。
白宫在一月份发布了一项新的联邦战略,推动美国政府采用“零信任”安全模式。这是由拜登的行政命令和美国国家安全局和微软在 2021 年 2 月为大型企业和关键网络(国家安全系统、国防部、国防工业基地)推荐这种方法引起的。
5 月,美国国家标准与技术研究院 (NIST) 还发布了有关企业如何更好地防御供应链攻击的最新指南。
微软 2021 年 10 月的一份报告还显示,自 2021 年 5 月以来,俄罗斯支持的 Nobelium 威胁组织在入侵 SolarWinds、攻击 140 家托管服务提供商 (MSP) 和云服务提供商并攻击至少 14 家之后,继续瞄准全球 IT 供应。
微软的调查结果表明,软件供应链已成为威胁参与者越来越受欢迎的目标,因为它允许他们破坏单个产品并影响使用它的众多下游公司。
供应链攻击背后的危险在现实世界的场景中也多次显现,因为俄罗斯威胁行为者入侵 SolarWinds以感染其下游客户,包括通过 Kaseya 的 MSP 软件,该软件用于加密全球 1000 多家公司的系统,并通过如何使用 npm 模块执行远程命令。
