I dag offentliggjorde CISA, National Security Agency (NSA) og Office of the Director of National Intelligence (ODNI), den tredje af en serie i tre dele om sikring af softwareforsyningskæden. Der er således nu 3 guides i PDF format, der har til hensigt at støtte forsyningskæder i forbindelse med Cybersikkerhed og sikkerhed generelt.
Guiderne på i alt 148 sider er et obligatorisk værktøj til at danne sig et overblik over de udfordringer som bl.a. kommende NIS2 krav stiller, men bør læses af alle der beskæftiger sig med IT sikkerhed og Cybersikkerhed. Her er de 3 PDF filer.
- Securing Software Supply Chain Series – Recommended Practices Guide for Customers. Denne publikation følger efter udgivelsen af
- Vejledning for IT og softwareudviklere i august 2022 og oktober 2022 frigivelsen af
- Vejledning til leverandører
Disse vejledninger, der blev udgivet senest i dag, sammen med det ledsagende faktablad indeholder anbefalede fremgangsmåder for softwarekunder for at sikre softwarens integritet og sikkerhed i indkøbs- og implementeringsfasen:
Securing Software Supply Chain Series er et output fra Enduring Security Framework (ESF), en offentlig-privat tværsektoriel arbejdsgruppe ledet af NSA og CISA. Denne serie supplerer andre amerikanske regerings bestræbelser, der er i gang for at hjælpe softwareøkosystemet med at sikre forsyningskæden, såsom softwareregningssamfundet (SBOM).
En “softwareregning” (SBOM) er opstået som en vigtig byggesten i softwaresikkerhed og risikostyring af softwareforsyningskæden. En SBOM er en indlejret beholdning, en liste over ingredienser, der udgør softwarekomponenter. SBOM-arbejdet er avanceret siden 2018 som en samarbejdsindsats i samfundet, drevet af National Telecommunications and Information Administration’s (NTIA) multistakeholder-proces.
Kilde: CISA/SBOM
CISA vil fremme SBOM-arbejdet ved at lette samfundsengagement, udvikling og fremskridt med fokus på skalering og operationalisering samt værktøjer, nye teknologier og nye brugssager. Dette websted vil også være en nexus for det bredere sæt SBOM-ressourcer på tværs af det digitale økosystem og rundt om i verden.
Et SBOM-relateret koncept er Vulnerability Exploitability eXchange (VEX). Et VEX-dokument er en attestering, en form for sikkerhedsrådgivning, der angiver, om et produkt eller produkter er påvirket af en kendt sårbarhed eller sårbarheder.
CISA opfordrer alle organisationer, der deltager i softwareforsyningskæden, til at gennemgå vejledningerne og
- Se CISA’s informations- og kommunikationsteknologi (IKT) Supply Chain Risk Management Task Force,
- Se ICT Supply Chain Resource Library og National Risk Management Center (NRMC) websider for yderligere vejledning.
De 3 vejledninger kan ses eller downloades her og er i PDF format:
1. SUPPLYCHAIN SOFTWARE SIKKERHEDSGUIDE FOR LEVERANDØRER (45 SIDER):
Denne PDF er om Forsyningskæden for leverandører og er en praktisk gennegang af best-breed politikker til leverandørsikkerhed, leverandørers og samarbejdspartnere IT sikkerhed m.v.
2. SUPPLYCHAIN SOFTWARE SIKKERHEDSGUIDE FOR SOFTWARE UDVIKLERE (64 SIDER)
Denne PDF er om Forsyningskæden Indenfor softwareudviklere og her kan medtages IT-leverandører herunder Agil Udvikling, Programmering, APP Udvikling, WEB Udvikling m.v. og fejlfinding samt Penetrationstest.
3. SUPPLYCHAIN SOFTWARE SIKKERHEDSGUIDE FOR KUNDER (39 SIDER)
Denne PDF er om Forsyningskæden Indenfor kunder og kan med fordel læses af de 2 ovenstående grupper, da den har et anderledes perspektiv.
Kilde: CISA, SBOM, ICARE
Fotokredit: CISA
