CISA: Secure by Design Pledge

Editors' Pick
Geronimo

A CISA elindított egy önkéntes kezdeményezést, amely a vállalati szoftvertermékekre és -szolgáltatásokra összpontosít, beleértve a szoftvereket, a felhőszolgáltatásokat és a szoftvert mint szolgáltatást (SaaS). A fizikai termékek, például az IoT-eszközök és a fogyasztói termékek nem tartoznak a területi hatálya alá, bár azok a cégek, amelyek előrelépést kívánnak mutatni ezeken a területeken, szívesen megtehetik.

A CISA Secure by Design ígérete – amelyet szerdán az RSA konferencián 68 szervezet írt alá – önkéntes kötelezettségvállalás arra, hogy egy éven belül hét cél elérése érdekében jóhiszemű erőfeszítéseket tesznek, és képesek mérhetően kimutatni az elért eredményeket.

Ezek a következők:

  • A többfaktoros hitelesítés (MFA) használatának növelése a termékeikben;
  • Az alapértelmezett jelszavak számának csökkentése termékeikben;
  • A sebezhetőségek egy vagy több teljes osztályának csökkentése;
  • Növeljék a biztonsági javítások telepítését az ügyfelek által;
  • Közzéteszik a sebezhetőségek nyilvánosságra hozatalára vonatkozó politikát (VDP), amely engedélyezi a nyilvánosság számára a termékek tesztelését, vállalja, hogy nem ajánlja, illetve nem indít jogi eljárást azok ellen, akik jóhiszeműen törekszenek a VDP betartására, egyértelmű csatornát biztosít a sebezhetőségek bejelentésére, és lehetővé teszi a nyilvánosságra hozatalt a sebezhetőségek nyilvánosságra hozatalának összehangolt legjobb gyakorlatával és szabványaival összhangban;
  • a sebezhetőségek bejelentése során átláthatóságot tanúsítanak azáltal, hogy pontos Common Weakness Enumeration (CWE) és Common Platform Enumeration (CPE) mezőkkel látják el termékeik minden CVE-rekordját – és időben kiadják a CVE-t, legalább a kritikus és nagy hatású hibák esetében; és
  • Könnyebbé kell tenniük az ügyfelek számára a termékeiket érintő behatolások bizonyítékainak felismerését.

A célunk az egész közösség számára az, hogy a biztonsági terheket áthelyezzük a magánszemélyekről és a kisvállalkozásokról – más szóval a végfelhasználókról, akiknek az üzleti tevékenysége nem a technológiafejlesztés vagy a kiberbiztonság – a technológiai gyártókra, akiknek ez az üzleti tevékenységük, és akik a legjobb helyzetben vannak ahhoz, hogy a biztonsági kockázatokat kezdettől fogva kezeljék és kezeljék – mondta Jen Easterly, a CISA igazgatója a dokumentum aláírása során az éves kiberbiztonsági konferencián. Easterly arra is felhívta a figyelmet, hogy a kínai kormány által támogatott kiberbűnözők, köztük a Volt Typhoon is fenyegetik az amerikai kritikus infrastruktúrát. 

FORRÁS