NSA和CISA发布软件供应链开发安全指南
美国国家安全局(NSA)和网络安全和基础设施安全局(CISA)本周四发布了一份软件供应链开发安全指南。
本指南基于持久安全框架ESF(一个致力于解决美国关键基础设施和国家安全系统所面临威胁的公私合作伙伴关系)设计,汇总了面向软件开发人员的安全实践建议。
“该指南是为了帮助开发人员通过行业和政府评估的建议实现安全开发,”NSA表示:“开发人员将从NSA和合作伙伴那里获得有关开发安全代码、验证第三方组件、强化开发环境和交付代码的有用指导。在所有DevOps都提升为DevSecOps之前,软件开发生命周期将面临风险。”
ESF将发布另外两个与软件供应链生命周期相一致的建议,本系列中的其他两个部分侧重于软件供应商和客户。
指南还提供了有关如何开发安全代码、验证第三方组件、强化构建环境和安全交付代码的详细信息。
此前,5月份美国国家标准与技术研究院(NIST)也曾发布过有关企业如何更好地防御供应链攻击的最新指南。
NSA指南链接:
NIST指南链接:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf
