Agenția pentru Securitate Cibernetică și Infrastructură (CISA) și Biroul Federal de Investigații (FBI) din SUA au emis un raport sever despre riscurile unor practici nesigure de dezvoltare software.
Acesta avertizează producătorii de software asupra pericolelor folosirii limbajelor de programare nesigure din punct de vedere al memoriei, cum ar fi C și C++, pentru infrastructuri critice și funcții naționale esențiale (NCF).
Practici de securitate nesigure și riscurile acestora
Raportul CISA și FBI, intitulat Product Security Bad Practices, subliniază că folosirea limbajelor nesigure pentru memorie, când există alternative mai sigure, crește semnificativ riscul asupra securității naționale și a sănătății publice. Cele mai riscante practici includ parolele implicite, vulnerabilități SQL, lipsa detectării intruziunilor și lipsa autentificării multifactor.
Raportul clasifică aceste practici în trei categorii:
- Proprietățile produsului: calitățile de securitate observabile ale unui produs software.
- Funcționalități de securitate: caracteristicile de securitate suportate de produs.
- Procese și politici organizaționale: acțiunile producătorului pentru transparența securității.
Îndrumări pentru fabricanți: Evitarea practicilor nesigure
Raportul recomandă ca producătorii de software, inclusiv furnizorii de cloud și SaaS, să evite practicile nesigure de securitate și să urmeze principiile „Secure by Design”, care demonstrează angajamentul față de protecția clienților. Deși îndrumările sunt voluntare, acestea constituie cel mai ferm avertisment emis de CISA până acum privind practicile de bază pentru securitate, iar companiile care gestionează infrastructuri critice au la dispoziție până la 1 ianuarie 2026 pentru a implementa foi de parcurs privind siguranța memoriei.
Calendarul pentru migrarea spre siguranța memoriei
Companiile sunt obligate să elimine parolele implicite și să dezvolte foi de parcurs pentru siguranța memoriei până la începutul anului 2026. Aceste foi de parcurs trebuie să prioritizeze eliminarea vulnerabilităților de siguranță a memoriei în codul esențial și să demonstreze eforturi rezonabile pentru a respecta planul de reducere a acestor vulnerabilități. Cu toate acestea, pentru produsele care vor ajunge la sfârșitul vieții în 2030, nu se impune o astfel de foaie de parcurs, ceea ce lasă loc pentru menținerea codului existent.
Supravegherea software-ului open-source și transparența
Raportul subliniază importanța atenției acordate vulnerabilităților open-source și îndeamnă companiile să întrețină un inventar al componentelor software și să contribuie responsabil la proiectele open-source de care depind. De asemenea, companiile sunt sfătuite să implementeze politici clare de divulgare a vulnerabilităților și să mențină un jurnal de securitate de cel puțin șase luni.
În drum spre un internet mai sigur: Provocări și riscuri
În timp ce migrarea către limbaje de programare mai sigure reprezintă un pas înainte, provocările sunt considerabile. Potrivit analistului Brad Shimmin de la Omdia, nu este realist să se aștepte o tranziție imediată de la C/C++ la limbaje sigure precum Rust, iar multe companii sunt constrânse de costuri și riscuri. De asemenea, raportul lasă loc pentru derogări, folosind termeni precum „se recomandă puternic” și „efort rezonabil”, recunoscând dificultățile migrării complete.
Cu toate acestea, presiunile asupra companiilor de a produce software mai sigur continuă să crească. Timpul este scurt, iar perioada de comentarii publice pe acest subiect este deschisă până pe 16 decembrie 2024.