Agenția pentru Securitate Cibernetică și Infrastructură (CISA) și Biroul Federal de Investigații (FBI) din SUA au emis un raport sever despre riscurile unor practici nesigure de dezvoltare software.
Acesta avertizează producătorii de software asupra pericolelor folosirii limbajelor de programare nesigure din punct de vedere al memoriei, cum ar fi C și C++, pentru infrastructuri critice și funcții naționale esențiale (NCF).
Practici de securitate nesigure și riscurile acestora
Raportul CISA și FBI, intitulat Product Security Bad Practices, subliniază că folosirea limbajelor nesigure pentru memorie, când există alternative mai sigure, crește semnificativ riscul asupra securității naționale și a sănătății publice. Cele mai riscante practici includ parolele implicite, vulnerabilități SQL, lipsa detectării intruziunilor și lipsa autentificării multifactor.
Raportul clasifică aceste practici în trei categorii:
- Proprietățile produsului: calitățile de securitate observabile ale unui produs software.
- Funcționalități de securitate: caracteristicile de securitate suportate de produs.
- Procese și politici organizaționale: acțiunile producătorului pentru transparența securității.
Îndrumări pentru fabricanți: Evitarea practicilor nesigure
Raportul recomandă ca producătorii de software, inclusiv furnizorii de cloud și SaaS, să evite practicile nesigure de securitate și să urmeze principiile „Secure by Design”, care demonstrează…