Solarwinds gibt bekannt, dass sein Next-Generation-Build-System dem Secure-Software-Development-Framework (SSDF) und den Software-Supply-Chain-Security-Richtlinien des National Institute of Standards and Technology (NIST) entspricht.
Solarwinds hat 2021 seine Secure-by-Design-Initiative als Reaktion auf Sunburst ins Leben gerufen. Die mehrgleisige strategische Initiative umfasst proprietäre Technologien, Produkte und Prozesse, die das Unternehmen und die gesamte Branche weiter stärken sollen. Ein zentraler Bestandteil der Initiative ist das Next-Generation-Build-System des Unternehmens: Mit einem einzigartigen parallelen Build-Prozess wird Software in mehreren sicheren, duplizierten und flüchtigen Umgebungen entwickelt.
„Die SSDF-Richtlinien werden ein wichtiger Schritt sein, um die Cybersicherheit der USA insgesamt zu verbessern“, sagt Tim Brown, Chief Information Security Officer und VP of Security bei Solarwinds. „Wir haben die Secure-by-Design-Initiative bei Solarwinds mit dem Ziel gestartet, führend im Bereich der Sicherheit von Unternehmenssoftware zu werden. Dazu gehört der Schritt, unsere Softwareentwicklungsprozesse an das Secure-Software-Development-Framework von NIST und das Enduring-Security-Framework von CISA anzugleichen, wie es von der National-Cybersecurity-Strategy empfohlen wird.“
Das Next-Generation-Build-System von Solarwinds hält die empfohlenen Standards des NIST-Secure-Software-Development-Framework durchgehend ein oder übertrifft sie:
- Parallele Ausführung von Software-Builds in drei isolierten, unterschiedlichen Build-Umgebungen; jeder Build-Schritt wird signiert und verifiziert, bevor er eine sichere Validierungsumgebung durchläuft, in der vor der Produktveröffentlichung mehrere Scans und Sicherheitsprüfungen durchgeführt werden.
- Über Zero-Trust hinausgehende Einführung und Implementierung einer Assume-Breach-Herangehensweise, die implizites Vertrauen in Anwendungen und Dienste vermeidet.
- Nutzung flüchtiger Vorgänge im Softwareentwicklungsprozess, um Abhängigkeiten zu vermeiden und Bedrohungsakteuren keine Möglichkeit zu bieten, eine „Homebase“ in Systemen aufzubauen.
- Bereitstellung automatisierter Tools, die regelmäßig Schwachstellenscans im gesamten Entwicklungsprozess durchführen, einschließlich Open-Source-Software-Schwachstellenprüfungen, statischen Code-Analysen und dynamischen Anwendungssicherheitstests.
- Erstellung einer Software-Bill of Materials (SBOM), die einen umfassenden Überblick über alle im Build-Prozess genutzten Komponenten, Bibliotheken, Tools und Prozesse bietet.
- Befolgung verantwortungsbewusster Offenlegungsprotokolle für verifizierte und validierte Schwachstellen.
Im Mai 2021 hat Präsident Biden die Executive-Order 14028 mit dem Ziel unterzeichnet, robustere Cybersicherheitsstandards in der US-Regierung umzusetzen und die Software-Lieferkette zu verbessern. Die Executive-Order wies NIST an, Richtlinien für Zero-Trust-Architekturen und Frameworks zu entwickeln, um die Sicherheit von Software-Lieferketten zu erhöhen. Gleichzeitig wurde das Office of Management and Budget (OMB) angewiesen, zur Einhaltung der NIST-Richtlinien aufzufordern.
#Solarwinds