聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
9月30日的最后期限源自本周四美国政府问责局 (GAO) 发布的一份检查报告。该报告检查了对美国政府在2021年发布的一份总统行政令的执行情况。
将要发布的软件类型,也被称为“总统行政令-关键软件”,符合由美国国家标准和技术局 (NIST) 提出的11项标准,并且能够管理系统上的多个权限、执行与网络防护和控制运营技术相关的措施等。
将发布的软件产品清单包括示例产品且将由CISA下属的网络安全部门发送给联邦机构。GAO报告提到仍然还需满足该行政令中提到的少数几个目标,并提到大部分目标均已实现。
这些软件类型将可能助力联邦机构更好地了解依赖程度最深的产品中的潜在漏洞。CISA 经常在软件采购流程中推出“设计安全”方式。制造商和厂商将确保自己的产品中内置网络安全特性。管理和预算办公室在去年的审计报告中提到,多数机构并未设置策略来解决联邦强制实施的物联网设备网络安全要求。
随着近年来网络攻击频见媒体,联邦网络安全已成为拜登政府的一个优先级任务,最近发生的国家黑客组织攻击让美国国家安全官员和立法者认为更是迫在眉睫。最近,美国参议院引入一项法案,要求联邦政府采购的在线协作工具要满足新的互用性和网络安全标准要求。
联邦机构一直以来都是黑客的目标,因为它们是数据丰富环境,并不一定部署了在线网络防御措施来检测恶意人员或将它们隔离在敏感系统之外。例如,联邦通信委员会在3月初证实称受到钓鱼攻击。黑客构建机构验证站点的克隆版本嗅探员工登录凭据。美国国务院最近也提醒在职和离职员工警惕针对员工薪酬账户的欺诈活动。
https://www.nextgov.com/cybersecurity/2024/04/cisa-issue-list-software-products-critical-agency-security-end-september/395965/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~