bencede
New member
ABD siber güvenlik kurumu CISA, kurumsal yazılımlara yönelik güvenlik standartlarını iyileştirme çabalarını yoğunlaştırıyor: “Tasarım Taahhüdüyle Güvenlik” başlığı altında üreticiler için gönüllü bir taahhüt başlatıyor. Taahhüdü imzalayan şirketlerin, imza tarihinden itibaren 12 ay içinde ürünlerini bu hedefe yaklaştıracak adımları atması gerekiyor. Ancak hukuki olarak bağlayıcı bir etkisi bulunmamaktadır.
Duyuru
Bugüne kadar aralarında Amazon Web Services, Cloudflare ve Google gibi bulut sektörünün devlerinin de bulunduğu 68 şirket gönüllü bağlılığa kaydoldu. Bu arada, Apple ve Facebook'un ana şirketi Meta, yokluğuyla dikkat çekiyor. Microsoft, FortiNet, Cisco ve Ivanti gibi diğer birçok imzacı da yakın zamanda ciddi güvenlik sorunlarıyla karşılaştı ve CISA'nın sert sözleriyle ve cezai tedbirleriyle karşılaştı.
Artık bu sadece resmi bir açıklama olamaz. Taahhüdün imzalanmasından sonraki bir yıl içinde her şirketin yedi alanda önlem uygulaması gerekiyor. Malısın:
ABD Siber Güvenlik Otoritesi, örneğin SQL enjeksiyonu ve dizin geçiş boşluklarının nasıl kontrol altına alınacağı gibi “Tasarım Yoluyla Güvenli” ilkesine ilişkin kapsamlı rehberlik sunmaktadır.
(cku)
Haberin Sonu
Duyuru
Bugüne kadar aralarında Amazon Web Services, Cloudflare ve Google gibi bulut sektörünün devlerinin de bulunduğu 68 şirket gönüllü bağlılığa kaydoldu. Bu arada, Apple ve Facebook'un ana şirketi Meta, yokluğuyla dikkat çekiyor. Microsoft, FortiNet, Cisco ve Ivanti gibi diğer birçok imzacı da yakın zamanda ciddi güvenlik sorunlarıyla karşılaştı ve CISA'nın sert sözleriyle ve cezai tedbirleriyle karşılaştı.
Artık bu sadece resmi bir açıklama olamaz. Taahhüdün imzalanmasından sonraki bir yıl içinde her şirketin yedi alanda önlem uygulaması gerekiyor. Malısın:
- Çok faktörlü kimlik doğrulamayı daha yoğun bir şekilde uygulayın,
- “Yönetici/şifre” gibi standart şifreleri güvenli alternatiflerle değiştirin,
- Tüm ürün yelpazesinde SQL enjeksiyonu gibi en az bir güvenlik açığı sınıfına karşı duyarlılığı azaltmak,
- Müşterilerin güvenlik yamalarını yükleme biçiminde önemli bir iyileşme elde edin,
- Güvenlik açıklarının yayınlanmasına yönelik bir politika geliştirmek (Güvenlik Açığı Açıklama Politikası, VDP),
- Yayınlanan güvenlik açıklarına hızla bir CVE kimliği ve ilgili meta veriler atayın
- Bir güvenlik olayından sonra, örneğin günlükler yoluyla bilgi toplanmasını basitleştirir.
ABD Siber Güvenlik Otoritesi, örneğin SQL enjeksiyonu ve dizin geçiş boşluklarının nasıl kontrol altına alınacağı gibi “Tasarım Yoluyla Güvenli” ilkesine ilişkin kapsamlı rehberlik sunmaktadır.
(cku)
Haberin Sonu