Em parceria com o Federal Bureau of Investigation (FBI), a CISA lançou uma atualização para a orientação chamada Product Security Bad Practices em prol da iniciativa Secure by Design. Esta orientação atualizada incorpora comentários públicos que a CISA recebeu em resposta a uma solicitação de Informações, incluindo práticas ruins adicionais, contexto sobre linguagens de segurança de memória, esclarecendo cronogramas para correção de Vulnerabilidades Exploradas Conhecidas (KEVs) e outras recomendações.
O update levou como base feedbacks incorporados dos 78 comentários públicos que a CISA recebeu em resposta à Solicitação de Informações. Isso inclui:
- • Três novas práticas ruins sobre o uso de funções criptográficas conhecidas como inseguras ou desatualizadas, credenciais codificadas e períodos de suporte ao produto.
- • Contexto adicional adicionado à seção de segurança de memória.
- • Exemplos adicionais de ações recomendadas para evitar vulnerabilidades de injeção de SQL.
- • Exemplos adicionais de ações recomendadas para evitar vulnerabilidades de injeção de comando.
- • Cronogramas esclarecidos para correção de Vulnerabilidades Exploradas Conhecidas (KEVs).
- • Linguagem adicionada para autenticação multifator (MFA) específica para produtos de tecnologia operacional.
- • Adicionado que os fabricantes de software devem oferecer suporte a MFA resistente a phishing.
Outras atualizações de phrasing em todo o texto.
Embora esta orientação voluntária seja voltada a fabricantes de software que desenvolvem produtos e serviços de software em suporte a infraestrutura crítica, toda e qualquer empresa que desenvolva software são fortemente encorajadas a evitar essas práticas ruins de segurança de produto.A CISA e o FBI pedem que os fabricantes de software reduzam o risco do cliente priorizando a segurança em todo o processo de desenvolvimento do produto. Para obter mais informações e recursos, visite a página Web da Secure by Design da CISA ou saiba como fazer o Secure by Design Pledge da CISA.
Para saber mais, clique aqui.