SolarWinds (NYSE: SWI), một nhà cung cấp hàng đầu về phần mềm quản lý và quan sát IT đơn giản, mạnh mẽ và an toàn, công bố hệ thống xây dựng thế hệ tiếp theo của mình phù hợp với Khung phát triển phần mềm an toàn của Học viện Tiêu chuẩn và Công nghệ Quốc gia (NIST®) và Hướng dẫn An ninh Chuỗi cung cấp Phần mềm.
SolarWinds đã ra mắt chiến dịch Secure by Design vào năm 2021 nhằm đáp ứng vụ SUNBURST. Chiến dịch này là một cách tiếp cận chiến lược đa mặt với công nghệ độc quyền, sản phẩm và quy trình được thiết kế để tăng cường sức mạnh của công ty và ngành công nghiệp nói chung. Một yếu tố quan trọng của chiến dịch này là Hệ thống Xây dựng Thế hệ tiếp theo của công ty, sử dụng quy trình xây dựng song song độc đáo trong đó phần mềm được phát triển trong nhiều môi trường an toàn, bảo mật và tạm thời, đồng thời được sao chép.
"Khung phát triển đảm bảo an ninh phần mềm sẽ là một bước quan trọng trong việc củng cố tình hình an ninh mạng tổng thể của quốc gia chúng ta", ông Tim Brown, Giám đốc Quản lý An ninh Thông tin và Phó Chủ tịch An ninh của SolarWinds, nói. "Tại SolarWinds, chúng tôi đã triển khai chiến dịch Secure by Design nhằm mục tiêu trở thành một nhà lãnh đạo về an ninh phần mềm doanh nghiệp. Điều này bao gồm việc điều chỉnh quy trình phát triển phần mềm của chúng tôi với Khung phát triển phần mềm an toàn của NIST và Khung phát triển an ninh lâu dài của CISA theo Chiến lược An ninh Mạng Quốc gia quy định".
Hệ thống Xây dựng Thế hệ tiếp theo của SolarWinds luôn đáp ứng hoặc vượt quá các tiêu chuẩn đề xuất của Khung phát triển phần mềm an toàn của NIST thông qua:
- Thực hiện quá trình xây dựng phần mềm song song bằng cách sử dụng ba môi trường xây dựng cô lập và khác nhau, trong đó mỗi bước xây dựng được ký và xác nhận trước khi đi qua một môi trường xác minh an toàn được xây dựng để thực hiện các quét và kiểm tra bảo mật đa dạng để xác nhận sản phẩm trước khi phát hành.
- Tiến xa hơn sự tin tưởng không đáng kể bằng cách thực hiện và áp dụng một vị trí giả định vi phạm để loại bỏ sự tin tưởng ngầm định vào ứng dụng và dịch vụ.
- Sử dụng các hoạt động tạm thời trong quá trình phát triển phần mềm để loại bỏ các phụ thuộc và loại bỏ cơ hội cho các đối tượng mối đe dọa xâm phạm thiết lập "trạm cơ sở" trên các hệ thống.
- Triển khai các công cụ tự động được thiết kế để chạy định kỳ để quét các lỗ hổng trong suốt quá trình phát triển, bao gồm các kiểm tra lỗ hổng phần mềm mã nguồn mở, phân tích mã nguồn tĩnh và kiểm thử bảo mật ứng dụng động.
- Tạo ra hóa đơn phần mềm (SBOMs), cung cấp hình ảnh toàn diện về tất cả các thành phần, thư viện, công cụ và quy trình được sử dụng trong quá trình xây dựng.
- Theo các giao thức tiết lộ trách nhiệm cho các lỗ hổng đã được xác minh và xác nhận.
Tổng thống Biden ký sắc lệnh 14028 vào tháng 5 năm 2021 với mục tiêu thực hiện các tiêu chuẩn an ninh mạng mạnh mẽ hơn trong Chính phủ Liên bang và cải thiện chuỗi cung cấp phần mềm. Sắc lệnh điều hướng NIST phát triển, cập nhật và triển khai kiến trúc và hướng dẫn về hệ thống không tin tưởng để nâng cao an ninh của chuỗi cung cấp phần mềm, đồng thời yêu cầu Văn phòng Kinh phí Quản lý (OMB) ra lệnh tuân thủ theo hướng dẫn của NIST.