UK szoftverek biztonságának és ellenálló képességének javítása
Az Egyesült Királyság kormánya kiadta a Software Security Code of Practice című önkéntes irányelvet, amelynek célja a szoftverek biztonságának és ellenálló képességének javítása. Az irányelv 14 alapelvet tartalmaz, amelyek négy fő témakör köré csoportosulnak: biztonságos tervezés és fejlesztés, építési környezet biztonsága, biztonságos üzembe helyezés és karbantartás, valamint ügyfelekkel való kommunikáció.
Az irányelv célja, hogy csökkentse a szoftverellátási láncokat érintő támadások és más szoftverbiztonsági incidensek valószínűségét és hatását. Gyakran ezek az incidensek elkerülhető gyengeségekből erednek a szoftverfejlesztési és karbantartási gyakorlatokban, valamint a szervezetek és szoftverszállítóik közötti gyenge kommunikációból.
Az irányelv kidolgozása során széles körű egyeztetés történt, beleértve a National Cyber Security Centre (NCSC) technikai szakértőit, iparági és akadémiai szakembereket, valamint a kanadai Kiberbiztonsági Központot. A dokumentumot a 2024. május és augusztus közötti nyilvános konzultáció során beérkezett visszajelzések alapján finomították.
Az irányelv elsősorban azokra a szervezetekre vonatkozik, amelyek szoftvert fejlesztenek és/vagy értékesítenek más vállalkozások vagy szervezetek számára. Ez magában foglalja a független szoftvergyártókat, a szoftver mint szolgáltatás (SaaS) szolgáltatókat, valamint azokat a vállalatokat, amelyek termékei vagy szolgáltatásai szoftverkomponenst tartalmaznak.
Az irányelv az Egyesült Királyság kiberbiztonsági útmutatásainak szélesebb körébe illeszkedik, és kiegészíti más gyakorlatokat, például a Cyber Governance Code of Practice-t. Emellett figyelembe veszi a nemzetközi szabványokat és legjobb gyakorlatokat, például az Egyesült Államok Secure Software Development Framework (SSDF) és az Európai Unió Cyber Resilience Act irányelveit.
Az irányelvhez önértékelési űrlap is tartozik, amelyet a szervezetek belső megfelelőségi ellenőrzésre vagy ügyfeleik számára nyújtott szoftverbiztonsági biztosítékok bemutatására használhatnak. Az Egyesült Királyság kormánya jelenleg egy tanúsítási rendszer kidolgozásán is dolgozik, amely ezen önértékelési folyamatra épül.
Az irányelv szerint a szoftverbiztonságot a szervezeteknek stratégiai prioritásként kell kezelniük, és biztosítaniuk kell, hogy a releváns csapatok rendelkezzenek a szükséges készségekkel és erőforrásokkal az irányelvben foglalt intézkedések végrehajtásához. Ez magában foglalja a formális képesítéseket, valamint a munka közbeni képzést és a biztonságos kódolási szabványok ismeretét.
