Американската агенция за киберсигурност CISA и ФБР актуализираха своите насоки относно рисковите лоши практики в областта на сигурността на софтуера, за да включат коментарите, получени по време на периода за публична дискусия.

Наречено „Лоши практики в областта на сигурността на продуктите“, ръководството съдържа преглед на практиките в областта на сигурността, които се считат за изключително рискови, дава препоръки за справяне с тях и призовава разработчиците на софтуер за критична инфраструктура да отдадат приоритет на сигурността.

Като необвързващ документ, ръководството обхваща рискови лоши практики, свързани със свойствата на продукта, функциите за сигурност и организационните процеси и политики, включително използването на езици, които не са безопасни за паметта, пароли по подразбиране и компоненти с известни уязвимости, липса на многофакторна автентикация (MFA) и регистриране, както и неспособност за своевременно публикуване на CVE с CWE.

След продължилия месец и половина период за публично коментиране CISA включи обратната информация от 78 публични коментара, включително нови лоши практики, по-ясни срокове за отстраняване на недостатъци в каталога на известните експлоатирани уязвимости (KEV) и контекст по отношение на езиците за програмиране с безопасна памет и др.

Актуализираното ръководство включва три нови лоши практики за твърдо кодирани пълномощия, използване на несигурни или остарели криптографски функции и поддръжка на продукти, както и повече примери за предотвратяване на грешки, свързани с инжектиране на SQL и инжектиране на команди.

Освен това разделът за MFA е актуализиран с език, характерен за продуктите за оперативни технологии, и се препоръчва производителите на софтуер да поддържат MFA, устойчиви на фишинг.

„Този документ е предназначен за доставчици на софтуер, които разработват софтуерни продукти и услуги, включително локален софтуер, облачни услуги и софтуер като услуга (SaaS). Той се отнася и за софтуерни продукти, които се изпълняват на продукти на оперативните технологии (OT) или вградени системи“, отбелязват CISA и ФБР.

Двете агенции обаче съветват всички доставчици на софтуер да прегледат ръководството и да избягват описаните в него лоши практики за сигурност, като по този начин дадат знак на клиентите си, че поемат отговорност за резултатите от сигурността на клиентите – един от принципите за сигурност още при проектирането, към които CISA призовава организациите да се придържат.

„CISA и ФБР призовават доставчиците на софтуер да намалят риска за клиентите, като дадат приоритет на сигурността в целия процес на разработване на продукта“, отбелязват двете агенции.

Източник: По материали от Интернет

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
Бъдете социални
Още по темата
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
07/02/2025

Astra и Invary набираха ми...

Тази седмица стартиращите компании за киберсигурност...
06/02/2025

Нигерия с успехи в киберсиг...

Правителството на Нигерия предприе по-строги мерки...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!