Так правительство США и OpenSSF пытаются избежать повтора SolarWinds.
Уроки из атаки на цепочку поставок ПО SolarWinds были извлечены и воплощены в виде набора рекомендаций , который был выпущен Агентством по кибербезопасности и защите инфраструктуры США (CISA), Аппаратом директора Национальной разведки (ODNI) и Агентством национальной безопасности (NSA). По их мнению, это должно помочь разработчикам избежать будущих атак на цепочки поставок.
Помимо набора рекомендаций от правительства США, разработчики также получили список лучших практик для npm от OpenSSF
По мнению агентств, разработчик несет ответственность за безопасность программного обеспечения. А в сообщении OpenSSF отмечается, что в npm теперь
Такие разработчики, как Майкл Берч, директор по безопасности приложений компании Security Journey, приветствуют активные действия властей. Однако Берч добавляет, что теперь ИБ-специалисты должны воплотить эти наборы рекомендаций в жизнь, а все AppSec-сообщество должно объединиться, чтобы повысить безопасность цепочек доставки ПО.
