Федеральные власти США выпустили руководство по защите цепочек поставок npm

Уроки из атаки на цепочку поставок ПО SolarWinds были извлечены и воплощены в виде набора рекомендаций , который был выпущен Агентством по кибербезопасности и защите инфраструктуры США (CISA), Аппаратом директора Национальной разведки (ODNI) и Агентством национальной безопасности (NSA). По их мнению, это должно помочь разработчикам избежать будущих атак на цепочки поставок.

Помимо набора рекомендаций от правительства США, разработчики также получили список лучших практик для npm от OpenSSF, которые помогут внедрить передовые методы обеспечения безопасности цепочек поставок ПО с открытым исходным кодом.

По мнению агентств, разработчик несет ответственность за безопасность программного обеспечения. А в сообщении OpenSSF отмечается, что в npm теперь более 2,1 миллиона пакетов.

Такие разработчики, как Майкл Берч, директор по безопасности приложений компании Security Journey, приветствуют активные действия властей. Однако Берч добавляет, что теперь ИБ-специалисты должны воплотить эти наборы рекомендаций в жизнь, а все AppSec-сообщество должно объединиться, чтобы повысить безопасность цепочек доставки ПО.