美CISA发布新指南提高开源软件安全性
| 来源:【字号:大 中 小】
2023年10月10日,美国网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、国家安全局(NSA)和美国财政部发布了一份关于“提高操作技术(OT)和工业控制系统(ICS)中开源软件(OSS)安全”的新指南。该指南是作为2023年开源软件规划倡议的一部分,与行业和政府合作伙伴共同开发的,旨在帮助操作技术供应商和关键基础设施实体更好地管理OSS使用所带来的风险,提高系统的安全性和韧性。
该指南主要针对组织使用开源软件时面临的软件安全挑战,提供了相关的建议,以提高安全性和改善风险管理,包括:
(1)供应商对开源软件的开发和维护支持,包括参与开源软件和补助金计划,与现有的开源软件基金会合作,支持软件开发生命周期中的安全工具和最佳实践。
(2)管理漏洞,包括通过请求免费的网络卫生服务来降低风险暴露,并利用现有的指导和资源参与漏洞协调。
(3)补丁管理,包括推广对OT/ICS环境中的补丁部署过程的独特理解,并维护一个完整的更新资产清单,以便最好地识别软件和硬件产品以及IT和OT环境中的开源组件。
(4)改善身份验证和授权策略,包括使用唯一且可验证的身份识别用户帐户,实施多因素身份验证,并将安全默认实践与最小权限相结合。
(5)建立通用框架,包括开发和支持开源软件办公室,支持安全且可信赖的开源软件消费实践,并维护软件资产清单。
这项持续的规划与合作支持了国家战略中的具体目标,即扩大公私合作关系,加强网络安全办公室的开源软件安全计划(OS3I),并补充了网络安全局的开源软件安全路线图,以安全的发展开源软件。
信息来源:
https://www.cisa.gov/news-events/news/cisa-government-and-industry-partners-publish-fact-sheet-organizations-using-open-source-software