¡Concéntrese en la seguridad del código fuente y recopile la información más reciente en el país y en el extranjero!
Columna·Seguridad de la cadena de suministro
En la era digital, el software está en todas partes. El software, como los "humanos virtuales" en la sociedad, se ha convertido en uno de los elementos más básicos que respaldan el funcionamiento normal de la sociedad. Las cuestiones de seguridad del software también se están convirtiendo en una cuestión fundamental y fundamental en la sociedad actual.
Con el rápido desarrollo de la industria del software, la cadena de suministro de software se ha vuelto cada vez más compleja y diversa. Las cadenas de suministro de software complejas introducirán una serie de problemas de seguridad, lo que hará que la protección general de la seguridad de los sistemas de información sea cada vez más difícil. En los últimos años, los ataques a la seguridad de la cadena de suministro de software han aumentado rápidamente y el daño causado se ha vuelto cada vez más grave.
Para ello lanzamos la columna “Seguridad de la Cadena de Suministro”. Esta columna recopila información sobre la seguridad de la cadena de suministro, analiza los riesgos de seguridad de la cadena de suministro, proporciona sugerencias de mitigación y protege la seguridad de la cadena de suministro.
Nota: consulte la sección "Lecturas recomendadas" al final de este artículo para conocer algunos contenidos relacionados con la seguridad de la cadena de suministro publicados en el pasado.
El martes, la Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó nuevos documentos que detallan los planes para respaldar el ecosistema de software de código abierto (OSS) y proteger el uso seguro del OSS por parte de las agencias federales.
CISA señaló que cualquier persona puede acceder, modificar y distribuir OSS, lo que permite un código de mayor calidad y promueve la colaboración mutua, pero al mismo tiempo plantea mayores riesgos a través de vulnerabilidades de amplio alcance como Log4Shell.
CISA publicó la "Hoja de ruta de seguridad del software de código abierto" que detalla las prioridades para proteger el ecosistema de OSS. Al establecer el papel de CISA, promoverá la visibilidad del uso y los riesgos de OSS, reducirá los riesgos para las agencias federales y fortalecerá la seguridad del ecosistema de código abierto.
CISA mencionó que las agencias federales y las organizaciones de infraestructura crítica dependen en gran medida del OSS. OSS se puede encontrar en casi todas las bases de código de diversas industrias. CISA señaló: "En línea con el objetivo de la Estrategia Cibernética Nacional de construir un 'ciberespacio más resiliente, más justo y más resiliente', CISA espera construir un futuro próspero donde las tecnologías seguras y resilientes sean la columna vertebral del mundo. La base sobre la cual se construye un crecimiento significativo en el software de código abierto es clave para este futuro".
CISA señaló que proteger la seguridad de la infraestructura OSS es crucial y todo comienza con la comprensión de las vulnerabilidades y ataques relevantes.
Las fallas de seguridad en OSS pueden tener impactos particularmente generalizados, y CISA se compromete a ayudar a reducir la prevalencia de vulnerabilidades explotables y ayudar a los socorristas. Al mismo tiempo, CISA llama la atención sobre los compromisos maliciosos de los componentes OSS que a menudo conducen a compromisos posteriores.
El documento de la hoja de ruta establece que CISA trabajará con la comunidad OSS para comprender mejor el ecosistema OSS y promover la colaboración mutua. Al mismo tiempo, alentará a los administradores de paquetes y servicios de alojamiento de códigos a tomar medidas para fortalecer la colaboración con socios internacionales y mejorar su OSS. capacidades profesionales de seguridad y estableció un grupo de trabajo interno de seguridad de software de código abierto en CISA.
CISA también se centra en identificar las bibliotecas OSS más utilizadas para respaldar funciones críticas dentro de las agencias federales y entidades de infraestructura crítica. Esta información se utilizará para comprender los riesgos y priorizar las medidas de mitigación y reducción de riesgos.
Para reducir el riesgo para las agencias federales, CISA evaluará soluciones para asegurar el uso de OSS, desarrollará una guía de mejores prácticas de la Oficina del Programa de Código Abierto (OSPO) y continuará identificando estrategias y recursos que puedan ayudar a mejorar la seguridad y la resiliencia de OSS.
Además, CISA continuará fortaleciendo la seguridad del ecosistema OSS más amplio, con un enfoque principal en la seguridad de los componentes críticos de OSS utilizados en el gobierno federal y la infraestructura crítica. También ampliará los esfuerzos de SBOM para apoyar la educación en seguridad para desarrolladores de OSS, publicará guías de mejores prácticas para el uso seguro de OSS y continuará coordinando la divulgación y respuesta a las vulnerabilidades de OSS.
Dirección de prueba de Code Guard: https://codesafe.qianxin.com
Dirección de prueba de guardia de código abierto: https://oss.qianxin.com
Lectura recomendada
Qi'anxin fue seleccionado como fabricante representativo del "Panorama de análisis de componentes de software" global
Una guía para los CISO sobre el pago de la deuda de la cadena de suministro de software
¡Solucione rápidamente este nuevo día 0 en MOVEit Transfer!
El software de transferencia de archivos MOVEit 0day se utiliza para robar datos
El grupo OilRig APT puede lanzar más ataques a la cadena de suministro de TI en Medio Oriente
GitHub descubre 7 vulnerabilidades de ejecución de código de alto riesgo en "tar" y npm CLI
Fallo de ejecución remota de código en dependencias populares de paquetes NPM
El paquete malicioso Npm intenta robar información confidencial de Discord y archivos del navegador
Encuentre eslabones débiles en la cadena de suministro de software
GitHub habla sobre la seguridad de la cadena de suministro de software y su importancia
Análisis de riesgos de seguridad de vulnerabilidad de software de código abierto
Código fuente de PUMA robado, dice que los datos de los clientes no se ven afectados
Enlace original
https://www.securityweek.com/cisa-releases-open-source-software-security-roadmap/
Imagen del título: Licencia Pixabay
Este artículo fue compilado por Qi Anxin y no representa las opiniones de Qi Anxin. Indique "Reimpreso de Qianxin Code Guard https://codesafe.qianxin.com" al reimprimir.
Código Qi'anxin seguro (código seguro)
La primera línea de productos nacionales centrada en la seguridad del desarrollo de software.
Si crees que es bueno, simplemente haz clic en "Buscar" o "Me gusta" ~