گیترزبورگ ، م.
در زنجیره تأمین نرم افزار و کنسرسیوم شیوه های امنیتی DevOps بخشی از پاسخ NIST به دستور اجرایی کاخ سفید (EO) است 14306، پایدار تلاش های انتخابی برای تقویت امنیت سایبری کشور و اصلاح دستور اجرایی 13694 و دستور اجرایی 14144. همانطور که در EO تصریح شده است ، کنسرسیوم دستورالعمل هایی را ارائه می دهد که نشان دهنده اجرای بهترین شیوه ها بر اساس چارچوب توسعه نرم افزار ایمن NIST است (SSDF).
به رهبری مرکز ملی امنیت سایبری NIST NIST (عکسبرداری) ، کنسرسیوم شامل 14 سازمان عضو است.
هدف این گروه تهیه دستورالعمل هایی است که به بهبود امنیت در تمام مراحل چرخه زندگی توسعه نرم افزار کمک می کند ، از برنامه ریزی و آزمایش اولیه یک محصول نرم افزاری گرفته تا استقرار ، بهره برداری و نگهداری آن در محیط های دنیای واقعی.
پیش نویس دستورالعمل برای اظهار نظر عمومی
NCCOE به تازگی پیش نویس اولیه این دستورالعمل ها را منتشر کرده است شیوه های توسعه نرم افزار ، امنیت و عملیات (DevSecops) ایمن (انتشار ویژه NIST (SP) 1800-44) برای اظهار نظر عمومی. نسخه فعلی یک نمای کلی از پروژه را ارائه می دهد. تکرارهای آینده شامل یک مدل مرجع دقیق و دستورالعمل های اجرای خاص برای هر یک از موارد استفاده برنامه ریزی شده پروژه خواهد بود.
این نشریه با SSDF ، که NIST در سال 2022 منتشر کرد ، با هم تراز و گسترش می یابد. در حالی که SSDF مجموعه ای اصلی از شیوه های توسعه نرم افزار امن سطح بالا را ارائه می دهد ، در مورد چگونگی ایجاد یک سازمان ممکن است یک محیط توسعه امن ایجاد کند که متناسب با اهداف سازمان باشد. SP 1800-44 با ارائه نمونه های خاصی از نحوه ایجاد آن محیط ، SSDF را تکمیل می کند و منجر به توسعه نرم افزار قابل اعتماد و سریعتر می شود.
آلپر کرمان ، یکی از نویسندگان این نشر ، گفت: “SSDF به ساخت نرم افزار به طور کامل نگاه می کند ، و به سازمانها کمک می کند تا بفهمند چه چیزی باید انجام شود تا محیط توسعه آنها ایمن تر شود ، چگونه از آن محافظت کنید و نواقصی را پیدا کنید که آن را آسیب پذیر می کند.” “پیش نویس دستورالعمل هایی که ما در حال توسعه هستیم نشان می دهد که چگونه سازمان ها می توانند از فناوری های تجاری ، خارج از قفسه و قابلیت های هوش مصنوعی استفاده کنند و از اصول و روشهای اعتماد صفر استفاده کنند تا یک محیط توسعه کارآمد و ایمن برای تولید نرم افزار سریع و مطمئن تر ایجاد کنند.”
محیط های توسعه با شیوه های امنیتی در حال حاضر به تیم ها امکان می دهند در حین ایجاد نرم افزار همکاری کنند و در عین حال از دسترسی افراد غیرمجاز به کار خود جلوگیری می کنند. کرمان گفت ، این محیط ها از نظر اهمیت در حال رشد هستند زیرا آسیب پذیری ها می توانند در هر مرحله از چرخه زندگی توسعه نرم افزار رشد کنند.
کرمان گفت: “شما باید یک محیط برای نوشتن کد داشته باشید ، جایی که کل تیم توسعه دهندگان می توانند به آن دسترسی پیدا کرده و کد را به روشی چابک به روز کنند.” “اما هنگامی که شما در حال نوشتن کد هستید ، یکی از اعضای تیم ممکن است کتابخانه های کد را از طرف های دیگر وارد کند ، به عنوان مثال. ما بهترین شیوه ها را برای به حداقل رساندن احتمال اینکه آسیب پذیری ها ممکن است در نتیجه به وجود بیایند ، مانند راه های مؤثر برای اسکن کد برای لکه های مشکل ، بیان خواهیم کرد.”
nist است پذیرش نظرات آنلاین از طرف عموم در مورد پیش نویس دستورالعمل های اولیه تا 12 سپتامبر 2025. آژانس قصد دارد پیش نویس های اضافی دستورالعمل ها را به صورت تدریجی در طول زندگی پروژه ، همراه با دوره های اظهار نظر عمومی منتشر کند.
برای کسانی که علاقه مند به توسعه پیش نویس دستورالعمل ها هستند ، NIST در حال برنامه ریزی یک رویداد مجازی برای 1 بعد از ظهر EDT ، 27 اوت 2025 ، برای برجسته کردن اهداف پروژه و همچنین جمع آوری بازخورد و بینش اضافی برای این پروژه است. ثبت نام برای این رویداد بصورت آنلاین در دسترس استبشر علاوه بر این ، NIST از مردم دعوت می کند تا به آن بپیوندند جامعه مورد علاقهبشر مشارکت در این پروژه برای همه سازمان های علاقمند باز است. برای اطلاعات بیشتر ، به NCCOE-DEVSECOPS (در) list.nist.gov (NCCOE-DEVSECOPS (AT) لیست (نقطه) NIST (نقطه) GOV)بشر
Source link