CISA 指南助您确保购买安全软件

关键要点

CISA 提供的指南旨在帮助企业安全采购软件。重要的审查问题可确保软件在开发中考虑了安全性。所有企业客户都应要求供应商在采购过程中整合安全考虑。逐步评估软件安全和效果十分重要。

您的团队负责识别和采购新软件，因此您会查看市场上可选项、阅读评论和测试软件。但是，您如何判断所选软件是否安全呢？

没有一天不报道事件提醒我们，我们距离成为头条新闻或需要进行 SEC 文件申报仅一步之遥。因此，我们该如何向供应商要求更多，确保购买的软件默认是安全的？

一个好的起点是美国网络安全和基础设施安全局CISA，该机构最近发布了多个指南，旨在协助企业环境中的软件及相关产品的采购和使用。

这些文件源自CISA的整体Secure by Design计划，提供了建议，这些建议是在与FBI及英国、加拿大、澳大利亚、挪威、日本等许多国家的国家安全服务进行咨询后制定的，能够帮助我们理解和应对与购买软件相关的风险。

CISA 软件采购和安全需求指南

CISA的软件采购指南解决了购买软件所涉及的网络安全风险，而安全需求指南则详细说明了客户如何询问软件制造商，了解他们的产品在安全方面的设计。

即使您不受这些文件的约束，我也认为您需要审查白皮书中提出的问题和要点。您的供应商可能没有对所有问题提供书面答案，但总体思路是我们都在努力确保购买的软件没有已知漏洞、后门或可能演变为安全问题的其他问题。

蚂蚁加速器兑换码

软件采购指南分为五个主要部分，每个部分都有自己的控制问题和澄清任务：

部分控制问题数量供应商治理与声明19软件供应链8安全软件开发30安全软件部署12漏洞管理8

正如指南所述，如果供应商提供了CISA安全软件开发声明表，或等效的GSA 7700安全软件开发声明表，则某些问题可以跳过，无需提供行动计划和里程碑。

CISA 的指导适用于所有类型的组织

即使您并不是政府机构，审查软件开发声明和GSA 7700表格中的问题仍然是有益的，以了解您的供应商能否回答这些问题。

这些问题直接关系到安全问题。软件是否已开发以支持使用多因素认证？供应商是否保护对开发者基础设施的访问，同时努力使用并维护值得信赖的源代码和供应链？您是否了解软件供应商在开发中是否使用开放源代码组件，以及谁为代码做出了贡献？开发者是否定期审查并修补用于开发软件的其他软件？

确保供应商的开发平台尽可能安全是合理的，以防止恶意行为者的攻击。

询问这些问题可以确定供应商是否实施了渗透测试或模糊测试，以确保他们正在构建的软件是安全的。供应商是否有一个流程，以便及时获知来自外部的漏洞和其他问题？

在您购买之前了解供应商是否在自身环境中保护易受攻击的组件，并定期参考DHS CISA 已知攻击漏洞目录KEV并修补、重建或以其他方式缓解已知