В условиях растущих угроз со стороны киберпреступников, использующих уязвимости программного обеспечения, Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустило "Руководство по безопасности по запросу". Этот ресурс предназначен для помощи покупателям программного обеспечения в укреплении безопасности приобретаемых продуктов.
Основные рекомендации включают:
1. Приоритизируйте безопасность: Организации должны рассматривать безопасность как обязательное требование при оценке нового ПО. Важно задавать вопросы о тестировании безопасности и управлении уязвимостями.
2. Используйте вопросы о безопасности в RFIs и RFPs: В запросах на информацию и предложения следует включать вопросы о практике безопасности поставщиков, такие как регулярные аудиты и соблюдение стандартов безопасности.
3. Требуйте прозрачности и ответственности: Поставщики должны открыто делиться информацией о своих процессах разработки и мерах по устранению уязвимостей.
4. Включайте требования по безопасности в контракты: Важно прописывать в контрактах условия по обновлениям безопасности и раскрытию уязвимостей.
5. Сотрудничайте с поставщиками: Установление долгосрочных партнерских отношений с надежными поставщиками поможет обеспечить постоянное улучшение безопасности.
CISA подчеркивает, что если больше организаций начнут требовать от поставщиков более строгих мер безопасности, это приведет к изменениям на рынке разработки программного обеспечения. В условиях увеличения кибератак, особенно на критическую инфраструктуру, принятие проактивных мер по кибербезопасности становится особенно актуальным.