This post is also available in:
English (אנגלית)
ה-FBI וה-CISA (Cybersecurity and Infrastructure Security Agency) עדכנו את ההנחיות המשותפות שלהם כדי לגרום לספקי תוכנה להתחיל לתעדף אבטחה, תוך כדי מיקוד בצמצום הסיכונים ללקוחות. הנחיה מעודכנת זו מדגישה שלוש "שיטות עבודה גרועות" נוספות שעל הספקים להימנע מהן, יחד עם המלצות חשובות אחרות לשיפור אבטחת התוכנה.
ההנחיות החדשות מפרטות מספר בעיות קריטיות הקשורות לחולשות בתוכנה, במיוחד בהקשר של מוצרים המשמשים לתשתית קריטית. אחד העדכונים העיקריים מתמקד בשימוש באלגוריתמים קריפטוגרפיים לא בטוחים. ב-CISA מזהירים מפני שימוש בשיטות הצפנה מיושנות כגון Transport Layer Security (TLS) 1.0/1.1, MD5, SHA-1 ו-Data Encryption Standard (DES). הסוכנויות ממליצות לספקים לאמץ פרוטוקולי הצפנה מודרניים ולתמוך באלגוריתמים קריפטוגרפיים פוסט-קוונטיים, כפי שתואר על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST). שינוי זה יסייע לאבטח נתונים רגישים במהלך השידור והאחסון.
דוגמה נוספת היא הכנסה של אישורי התחברות או סודות לקוד המקור של התוכנה. שיטה זו מסוכנת משום שהיא יכולה לחשוף בקלות מידע קריטי. ב-CISA מייעצים לספקים להשתמש בכלי ניהול סודות מאובטחים המאפשרים אחזור בטוח של אישורים וליישם מנגנוני סריקה כדי לזהות נוכחות של נתונים רגישים בקוד.
ההנחיות המעודכנות מדגישות גם את החשיבות של תקשורת ברורה לגבי תקופות התמיכה במוצר. מומלץ לספקים להגדיר במפורש את משך התמיכה שלהם במוצרים בעת המכירה ולהבטיח שעדכוני אבטחה מסופקים לאורך כל חלון התמיכה. שקיפות זו תסייע ללקוחות לנהל את הסיכונים הכרוכים בשימוש בתוכנה מיושנת.
בסך הכל, המסמך מזהה 13 נוהלי פיתוח תוכנה מסוכנים. ההנחיות מדגישות גם את הצורך בתיקון בזמן של חולשות ידועות ואת היישום של אימות רב-גורמי עמיד לפישינג.
