Concentrez-vous sur la sécurité du code source et collectez les dernières informations au pays et à l'étranger !
Chronique·Sécurité de la chaîne d'approvisionnement
À l’ère du numérique, les logiciels sont partout. Les logiciels, comme les « humains virtuels » dans la société, sont devenus l'un des éléments les plus fondamentaux qui soutiennent le fonctionnement normal de la société. Les questions de sécurité des logiciels deviennent également une question fondamentale et fondamentale dans la société d'aujourd'hui.
Avec le développement rapide de l'industrie du logiciel, la chaîne d'approvisionnement en logiciels est devenue de plus en plus complexe et diversifiée. Les chaînes d'approvisionnement en logiciels complexes introduiront une série de problèmes de sécurité, rendant la protection globale de la sécurité des systèmes d'information de plus en plus difficile. Ces dernières années, les attaques contre la sécurité de la chaîne d’approvisionnement logicielle se sont multipliées rapidement et les dommages causés sont devenus de plus en plus graves.
A cet effet, nous lançons la rubrique « Supply Chain Security ». Cette colonne collecte des informations sur la sécurité de la chaîne d'approvisionnement, analyse les risques de sécurité de la chaîne d'approvisionnement, fournit des suggestions d'atténuation et protège la sécurité de la chaîne d'approvisionnement.
Remarque : Veuillez consulter la section « Lectures recommandées » à la fin de cet article pour connaître certains contenus liés à la sécurité de la chaîne d'approvisionnement publiés dans le passé.
Mardi, l'Agence américaine de cybersécurité et d'infrastructure (CISA) a publié de nouveaux documents détaillant les plans visant à soutenir l'écosystème des logiciels open source (OSS) et à protéger l'utilisation sécurisée des logiciels libres par les agences fédérales.
CISA a souligné que les logiciels libres peuvent être consultés, modifiés et distribués par n'importe qui, ce qui permet un code de meilleure qualité et favorise la collaboration mutuelle, mais présente en même temps des risques plus élevés en raison de vulnérabilités de grande envergure telles que Log4Shell.
La CISA a publié la « Feuille de route de sécurité des logiciels open source » détaillant les priorités pour la protection de l'écosystème des logiciels libres. En établissant le rôle de la CISA, elle favorisera la visibilité sur l'utilisation et les risques des logiciels libres, réduira les risques pour les agences fédérales et renforcera la sécurité de l'écosystème open source.
La CISA a mentionné que les agences fédérales et les organisations d'infrastructures critiques s'appuient fortement sur les logiciels libres. Les logiciels libres peuvent être trouvés dans presque toutes les bases de code de divers secteurs. La CISA a noté : « Conformément à l’objectif de la cyber-stratégie nationale de construire un « cyberespace plus résilient, plus juste et plus résilient », la CISA espère construire un avenir prospère où les technologies sécurisées et résilientes constituent l’épine dorsale du monde. La base sur laquelle repose une croissance significative des logiciels open source est la clé de cet avenir. »
La CISA a souligné que la protection de la sécurité de l'infrastructure OSS est cruciale et que tout commence par la compréhension des vulnérabilités et des attaques pertinentes.
Les failles de sécurité des logiciels libres peuvent avoir des impacts particulièrement étendus, et CISA s'engage à contribuer à réduire la prévalence des vulnérabilités exploitables et à aider les intervenants. Dans le même temps, la CISA attire l’attention sur les compromissions malveillantes des composants OSS qui conduisent souvent à des compromissions en aval.
Le document de feuille de route indique que CISA travaillera avec la communauté OSS pour mieux comprendre l'écosystème OSS et promouvoir la collaboration mutuelle. Dans le même temps, il encouragera les gestionnaires de packages et les services d'hébergement de code à prendre des mesures pour renforcer la collaboration avec les partenaires internationaux et améliorer leurs OSS. capacités professionnelles en matière de sécurité. , et a créé un groupe de travail interne sur la sécurité des logiciels open source au CISA.
CISA se concentre également sur l'identification des bibliothèques OSS les plus couramment utilisées pour prendre en charge les fonctions critiques au sein des agences fédérales et des entités d'infrastructures critiques. Ces informations seront utilisées pour comprendre les risques et prioriser les mesures d'atténuation et de réduction des risques.
Afin de réduire les risques pour les agences fédérales, la CISA évaluera des solutions pour sécuriser l'utilisation des logiciels libres, développera des conseils sur les meilleures pratiques de l'Open Source Program Office (OSPO) et continuera d'identifier des stratégies et des ressources qui peuvent aider à améliorer la sécurité et la résilience des logiciels libres.
En outre, la CISA continuera de renforcer la sécurité de l’écosystème OSS au sens large, en mettant l’accent principalement sur la sécurité des composants OSS critiques utilisés par le gouvernement fédéral et les infrastructures critiques. Il élargira également les efforts du SBOM pour soutenir la formation à la sécurité des développeurs de logiciels libres, publiera des conseils sur les meilleures pratiques pour une utilisation sécurisée des logiciels libres et continuera à coordonner la divulgation et la réponse aux vulnérabilités des logiciels libres.
Adresse d'essai de Code Guard : https://codesafe.qianxin.com
Adresse d'essai de garde open source : https://oss.qianxin.com
Lecture recommandée
Qi'anxin a été sélectionné comme fabricant représentatif du « Panorama d'analyse des composants logiciels » mondial
Corrigez rapidement ce nouveau 0day dans MOVEit Transfer !
Le logiciel de transfert de fichiers MOVEit 0day utilisé pour voler des données
GitHub découvre 7 vulnérabilités d'exécution de code à haut risque dans "tar" et npm CLI
Faille d'exécution de code à distance dans les dépendances populaires des packages NPM
Trouver les maillons faibles de la chaîne d'approvisionnement des logiciels
GitHub parle de la sécurité de la chaîne d'approvisionnement logicielle et de son importance
Analyse des risques de sécurité des vulnérabilités des logiciels open source
Le code source de PUMA volé, les données des clients ne sont pas affectées
Lien d'origine
https://www.securityweek.com/cisa-releases-open-source-software-security-roadmap/
Image de titre : Licence Pixabay
Cet article a été compilé par Qi Anxin et ne représente pas les opinions de Qi Anxin. Veuillez indiquer « Réimprimé de Qianxin Code Guard https://codesafe.qianxin.com » lors de la réimpression.
Qi'anxin Code Safe (codesafe)
La première gamme de produits nationaux axée sur la sécurité du développement logiciel.
Si vous pensez que c'est bien, cliquez simplement sur « Je recherche » ou « J'aime » ~