De Amerikaanse geheime dienst NSA heeft best practices gepubliceerd voor het beveiligen van de software supply chain. Aanleiding was onder andere de SolarWinds-aanval en Log4j-kwetsbaarheid. Volgens de NSA laten deze incidenten zien dat er grote kwetsbaarheden in de softwareketen aanwezig zijn waar aanvallers misbruik van kunnen maken. Om dit tegen te gaan zijn er twee documenten met best practices verschenen, genaamd "Securing the Software Supply Chain" voor ontwikkelaars en leveranciers.
Steeds meer softwareontwikkelaars maken binnen hun projecten gebruik van software die door andere partijen is ontwikkeld. Een kwetsbaarheid in deze software kan voor grote problemen zorgen, zoals de Log4j-kwetsbaarheid aantoonde. Daarnaast is het belangrijk dat softwareontwikkelaars hun eigen beveiliging op orde hebben. Zo wisten aanvallers toegang tot de ontwikkelomgeving van SolarWinds te krijgen en konden zo malafide code aan de software van het bedrijf toevoegen, waarmee vervolgens duizenden bedrijven werden besmet.
"Preventie wordt vaak gezien als de verantwoordelijkheid van de softwareontwikkelaar, aangezien zij veilige code moeten ontwikkelen en aanleveren, third-party onderdelen verifiëren, en de ontwikkelomgeving beveiligen. Maar de leverancier heeft ook een belangrijke verantwoordelijkheid in het garanderen van de veiligheid en integriteit van onze software", aldus de NSA.
De best practices van de geheime dienst richten zich op het ontwikkelen van een softwarearchitectuur vanuit een beveiligingsperspectief, het toevoegen van beveiligingsfeatures, het beschermen van de code tegen ongeautoriseerde aanpassingen, het verifiëren van de integriteit van gepubliceerde software, controleren van broncode, het opstellen van beveiligingseisen voor derde partijen en het adequaat reageren op meldingen van kwetsbaarheden.
Deze posting is gelocked. Reageren is niet meer mogelijk.