哥伦比亚诉讼如何将软件供应商置于安全的钩子中
保险公司哥伦比亚伤员,一款行业巨头CNA,最近起诉了一位前客户,寄宿索赔超过400万美元的支付索赔。西装声称,屋苑不保持安全控制,最新,当发生违规时,试图将保险公司放在挂钩中涵盖损害。
保险公司的回答?这次不行。
多年来,软件供应商在假设他们可以将安全风险转移给别人的假设。我们已经看到了公司运输产品或通过已知漏洞进行服务,期待客户使用该服务或软件来吸收风险。反过来,供应商受到保险公司的财务损失。通过驾驶风险,软件公司可以延迟修复其代码中的漏洞并保持发布计划。
但哥伦比亚诉讼可能会使这种做法结束。
哥伦比亚的西装不符合山寨需要雇用安全专家或采取任何非凡的步骤。相反,已发出的政策需要Cottage将所谓的“最低要求实践”保持在其IT环境中更换出厂默认设置,检查供应商提供的安全补丁,并在30天内实施这些补丁(后者要求的原因)要防止已知的漏洞被攻击者利用)。
这些不是繁重的要求,并且它们不需要复杂的测试程序。相反,最佳实践状态,如果供应商和修复该漏洞的修补程序公开了漏洞,则需要该组织安装修补程序以维护保险范围。
底线是,保险公司现在明白,并非所有的违规都是不可避免的,而且公司必须做更多来保护客户。向客户和保险公司的风险转移将不再足以保护组织免受金融负债。
避免漏洞
想要避免这些负债的软件和服务提供商需要熟悉所需的最低实践。在开源代码方面,他们需要特别警惕。
每年,组织使用软件开发中的越来越多的开源代码。如果使用旧版本的开源代码,则它们可能包含先前在NIST的国家漏洞数据库(NVD)上公开的安全漏洞。Black Duck的未来开源软件报告显示,大多数组织的监控和跟踪组织中使用的开源的工作不佳。避免这些漏洞与匹配开源组件列表(必须理解为符合版权法)对NVD一样简单。这种简单的活动,加上替换具有修补版本的易受攻击的组件,将立即提高应用程序的安全性配置文件,几乎没有成本。
安全测试通常在释放应用程序时结束。由于代码不再更改(推理出现),因此额外的测试不会揭示其他问题。然而,这忽略了改变威胁环境的问题。当新的漏洞披露在您使用的开源中,您需要确认您之前的“安全”代码现在容易受到公开披露的攻击矢量。跟踪您使用的组件,并定期检查NVD进行更改。
今天的保险问题是明天的销售问题
与此同时,随着保险公司推回,我们可以指望购买软件的客户来做同样的事情。供应商应期望他们提供的产品和服务中的最低要求的请求和要求。如果您还没有为这些请求(和审计)准备好,则您竞争对手的竞争对手将在他们所做的每一个销售调用中使用它们。
最低最佳实践要求的详细信息可能因客户而异(以及供应商提供的软件或硬件的关键性)。根据这些实践的定义,可能需要在静态和动态分析等测试方法上花费更多钱。
良好的第一步是了解安全开发生命周期(SDLC)的样子和它可以包括的各种活动。BSIMM,Microsoft和OWASP等组织有公开的指南。
Mike Pittenger是Black Duck软件的产品策略的VP。