英國國家網路安全中心(NCSC)與科學創新科技部於 5 月 7 日聯合發布「軟體安全實務守則(Software Security Code of Practice)」,這項自願性質的指導原則旨在建立軟體開發的安全基準線,並推動業界採用「Secure by Design」的開發模式。
四大主題涵蓋開發全週期
新發布的守則包含 14 項核心原則,分為四大主題領域。
- 「安全設計與開發」:要求軟體供應商確保整個開發生命週期的安全性,包括第三方元件的安全管控。
- 「建置環境安全」:聚焦於開發環境的安全防護措施。
- 「安全部署與維護」:主題強調軟體發布後的持續安全管理,
- 「客戶溝通」:則要求開發商提高透明度,特別是在關於舊版軟體及重大安全事件的資訊分享方面。
組織文化變革的重要性
NCSC 特別強調高階主管的責任,要求軟體供應商的資深領導者承擔安全責任,並優先考慮安全措施的實施。這種責任延伸至確保整個組織都能遵循安全指導原則,將軟體安全培養成企業文化的一部分。
守則建議員工應具備正式資格認證、接受在職訓練,並熟悉安全編碼標準。NCSC 指出,目前「技術市場並未激勵組織開發『預設安全(secure by default)』的軟體。可以理解的,組織會優先考慮成長和利潤,而非產品的安全性和韌性」。
這項新措施是英國政府過去十年來提升國家網路安全的重要一環。2018 年,英國發布了「消費者物聯網安全實務守則(Code of Practice for Consumer IoT Security)」,為居家設備的開發、製造和零售提供安全指導。四年後,英國通過了「產品安全與電信基礎設施法案(Product Security and Telecommunications Infrastructure Act)」,對物聯網設備的製造商、進口商和經銷商訂定強制性安全要求。
專家表示,這類針對製造商及相關業者的文件和倡議越頻繁推出越好。這將某些做法從『是的,這是普遍知識,但不是每個人都會實踐』轉變為『這是理所當然的做法,當然你會這樣做,為什麼不這樣做?這是每個人都在做的』。這是推動事物從一個階段轉向另一個階段的過程。
自願性質的效力與限制
儘管軟體安全倡議至關重要,但英國的軟體安全實務守則完全基於自願性質,缺乏監管執行力。ESET 首席安全推廣師 Tony Anscombe 指出,這項守則與其他政府發布的類似指導原則相似,如美國 CISA 的「預設安全原則(Secure by Design principles )」和 NIST 的「安全軟體開發框架(Secure Software Development Framework)」。
Anscombe 強調:「值得注意的是,上述所有提及的都是自願性質。對於任何可以自願採用的原則,政府需要推動業界採用這些原則,並公開說明其合規性或朝向合規性的進展。」
Woods 認為英國守則與 CISA 的「預設安全」倡議是平行努力。雖然兩者有諸多重疊,在不同國家市場建立標準有其幫助,但兩項倡議有足夠的差異性,不應歸類為相同。
未來發展與市場採用
守則的成功將取決於業界的採用程度。Anscombe 指出,這些核心原則旨在透過追蹤整個開發生命週期來解決可避免的問題。
重要面向包括確保合規性的自我評估機制,以及鼓勵負責任的漏洞回報。
Anscombe 表示:「我了解英國政府未來可能會基於這個流程採用認證制度。然而,我認為如果該制度以正確方式推廣並獲得業界採用,認證變得較不重要,因為客戶會要求合約保證這些原則已被實施,這讓合規成為公司的營收要求。」
隨著軟體供應鏈攻擊威脅持續增長,政府和業界是否能透過自願性質的倡議建立足夠的安全防護仍有待觀察。英國的軟體安全實務守則代表了朝向「預設安全」開發文化的重要一步,但其實際效果將取決於業界的響應程度以及後續的監管措施。
本文轉載自darkreading。