Die US-Regierung verschärft ihre Warnungen vor gefährlichen Software-Entwicklungsmethoden. Die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben gemeinsam einen Bericht veröffentlicht, der vor grundlegenden Sicherheitsfehlern warnt, die weiterhin kritische Infrastrukturen gefährden. Insbesondere wird die Nutzung von memory-unsafe Programmiersprachen wie C und C++ kritisiert.
Der Bericht „Product Security Bad Practices“ teilt schlechte Praktiken in drei Kategorien ein: Produkteigenschaften, Sicherheitsfunktionen und organisatorische Prozesse und Richtlinien. Er richtet sich an Softwarehersteller, die Produkte und Dienste für kritische Infrastrukturen entwickeln, einschließlich Cloud-Services und Software as a Service (SaaS).
Die Behörden fordern die Hersteller auf, diese „bad practices“ zu vermeiden und den Empfehlungen zu folgen. Dies würde signalisieren, dass sie Verantwortung für die Sicherheit ihrer Kunden übernehmen, ein Schlüsselprinzip von „Secure by Design“.
Ein zentrales Anliegen ist die Erstellung von Roadmaps zur memory safety bis zum 1. Januar 2026. Hersteller sollen darlegen, wie sie Schwachstellen im Speichermanagement in Komponenten mit priorisiertem Code beseitigen wollen. Zudem müssen Standardpasswörter in Admin-Konten bis zu diesem Datum eliminiert werden.
Der Bericht betont auch die Bedeutung von Transparenz. Unternehmen sollen Richtlinien zur Offenlegung von Sicherheitslücken veröffentlichen, für alle kritischen Schwachstellen CVEs ausgeben und klare Dokumentationen zu Sicherheitsfragen bereitstellen. Sie werden auch aufgefordert, mindestens sechs Monate lang Security-Logs aufzubewahren.
Experten sehen die Empfehlungen als wichtigen Schritt, um die Sicherheit von Software in kritischen Bereichen zu erhöhen. Obwohl die Umsetzung Herausforderungen mit sich bringt, insbesondere bei der Migration von bestehendem Code, wird die Initiative als notwendig erachtet, um bekannte Sicherheitsprobleme anzugehen.
Die CISA hat eine öffentliche Kommentierungsphase bis zum 16. Dezember 2024 eröffnet. Interessierte können ihre Kommentare im Federal Register einreichen.