Rossz szoftverbiztonsági gyakorlatok
A Szövetségi Nyomozó Irodával (FBI) együttműködve az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) a Secure by Design kezdeményezésének támogatására frissített közös útmutatót adott ki a termékbiztonsági rossz gyakorlatokról. Ez a frissített iránymutatás magában foglalja a válaszul kapott nyilvános észrevételeket, valamint bővült további rossz gyakorlatokkal, a memóriabiztos nyelvekkel kapcsolatos összefüggésekkel és egyéb ajánlásokkal.
A rossz gyakorlatok három kategóriába sorolhatók.
– Terméktulajdonságok, amelyek a szoftvertermék megfigyelhető, biztonsággal kapcsolatos tulajdonságait írják le.
– Biztonsági jellemzők, amelyek a termék által támogatott biztonsági funkciókat írják le.
– Szervezeti folyamatok és irányelvek, amelyek leírják a szoftvergyártó által a biztonsággal kapcsolatos megközelítésének átláthatósága érdekében tett lépéseket.
A frissített útmutató nem tartalmaz minden lehetséges kerülendő kiberbiztonsági gyakorlatot. Az, hogy egy adott kiberbiztonsági gyakorlat nem szerepel a listán, nem jelenti azt, hogy a CISA és az FBI támogatják azok alkalmazását. A listán szereplő tételeket a fenyegetések alapján választották ki, mint a legveszélyesebb és legsürgetőbb rossz gyakorlatokat, amelyeket a szoftvergyártóknak kerülniük kell.
