janeiro 20, 2025

[Segurança] Práticas inadequadas de segurança no desenvolvimento de produtos

A Cybersecurity and Infrastructure Security Agency (CISA), em parceria com o FBI, lançou uma atualização para a orientação conjunta "Product Security Bad Practices" (Práticas inadequadas de segurança em produtos) como parte da iniciativa "Secure by Design" da CISA. Esta orientação, recém atualizada, traz novas práticas ruins de segurança, coletadas de feedbacks da comunidade. Ela está disponível online, gratuitamente.


As práticas ruins destacadas pela CISA são divididas em três categorias:
  • Propriedades do produto, que descrevem as qualidades observáveis ​​relacionadas à segurança de um produto de software.
  • Recursos de segurança, que descrevem as funcionalidades de segurança existentes em um produto.
  • Processos e políticas organizacionais, que descrevem as ações tomadas por um fabricante de software para garantir forte transparência em sua abordagem de segurança.
Os treze itens destacados nesta lista de práticas ruins representam as práticas mais perigosas e urgentes que os fabricantes de software devem evitar:
  1. O desenvolvimento de produtos em uma linguagem insegura em termos de memória ("memory-unsafe language"), como por exemplo, C ou C++
  2. SQL Injection;
  3. Injeção de comandos no sistema operacional;
  4. Uso de senhas default, embutidas no produto;
  5. O produto contém, no momento de seu lançamento, uma vulnerabilidade explorável conhecida, presente no Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA;
  6. O produto inclui componentes de software de código aberto que possua vulnerabilidades críticas no momento de seu lançamento;
  7. Uso de algoritmos criptográficos inseguros ou obsoletos, ou o produto não possui recursos de criptografia em trânsito ou no armazenamento de informações confidenciais;
  8. A presença de credenciais ou segredos codificados no código-fonte;
  9. Falta de suporte a autenticação de múltiplos fatores (MFA);
  10. Não fornecer informações atuais e históricas para identificar tipos de intrusão comuns;
  11. Não notificar vulnerabilidades, no mínimo para casos de impacto alto ou crítico;
  12. Não ter uma política de divulgação de vulnerabilidades (Vulnerability Disclosure Policy , ou VDP);
  13. Não comunicar claramente o período de suporte do produto.
Esta orientação tem caráter voluntário e é destinada a fabricantes de software que desenvolvem produtos e serviços de software em suporte à infraestrutura crítica. Ela também pode ser aplicada por todos os demais fabricantes de software, que são fortemente encorajados a evitar essas práticas ruins de segurança no desenvolvimento de produtos.

A CISA e o FBI pedem que os fabricantes de software reduzam o risco de seus clientes ao priorizarem a segurança em todo o processo de desenvolvimento do produto.

Para saber mais:

Postado por em
Marcadores: , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.