মার্কিন সরকারের কাছে সফটওয়্যার বিক্রি করছেন? প্রথমে নিরাপত্তা প্রত্যয়ন জানুন

গত কয়েক মাস ধরে, মার্কিন সরকার সরকারী সংস্থাগুলির কাছে সফ্টওয়্যার বিক্রি করে এমন সংস্থাগুলিকে প্রভাবিত করে এমন বেশ কয়েকটি নতুন প্রয়োজনীয়তা চালু করেছে৷ যেহেতু এই নতুন প্রয়োজনীয়তাগুলি জটিল, অনেক নেতা এখনও নিশ্চিত নন যে তাদের সংগঠন কীভাবে প্রভাবিত হবে। এই নিবন্ধে, আমি কিছু গুরুত্বপূর্ণ ধারণা শেয়ার করব যা আপনাকে বুঝতে হবে যাতে আপনি আপনার সরকারি ব্যবসা রক্ষা করতে পারেন এবং মেনে চলতে পারেন।

নতুন সফ্টওয়্যার নিরাপত্তা প্রয়োজনীয়তা: কি পরিবর্তন হয়েছে?

গত বেশ কয়েক বছর ধরে হাই-প্রোফাইল নিরাপত্তার মতো ঘটনা যা প্রভাবিত করেছে SolarWinds এবং ওপেন সোর্স প্যাকেজ log4j সফ্টওয়্যার নিরাপত্তার উপর সরকারের মনোযোগ বৃদ্ধি করেছে। দিয়ে শুরু হোয়াইট হাউস এক্সিকিউটিভ অর্ডার 14028 2021 সালের মে মাসে দেশের সাইবার নিরাপত্তার উন্নতির জন্য, গত দুই বছরে একাধিক পদক্ষেপের ফলে একটি সুস্পষ্ট প্রয়োজনীয়তা তৈরি হয়েছে যা যেকোনো সরকারি সফ্টওয়্যার সরবরাহকারীকে প্রভাবিত করে।

সামনের দিকে, মার্কিন সরকারের কাছে সফ্টওয়্যার বিক্রি করা যে কোনও সংস্থাকে স্ব-প্রত্যয়ন করতে হবে যে এটি সরকার কর্তৃক বর্ণিত নিরাপদ সফ্টওয়্যার বিকাশের অনুশীলনের সাথে সামঞ্জস্যপূর্ণ। NIST সিকিউর সফটওয়্যার ডেভেলপমেন্ট ফ্রেমওয়ার্ক.

বোঝার জন্য সবচেয়ে গুরুত্বপূর্ণ বিষয়গুলির মধ্যে একটি হল যে সংস্থাগুলিকে কেবলমাত্র প্রমাণ করা উচিত নয় যে তারা যে সফ্টওয়্যার কোড লিখেছে তার জন্য তারা এই অনুশীলনগুলি অনুসরণ করে, তবে এটিও যে ওপেন সোর্স উপাদানগুলি তারা তাদের অ্যাপ্লিকেশনগুলিতে টানছে এই অনুশীলনগুলিও অনুসরণ করে।

জুনের শুরুতে, সরকার এই প্রয়োজনীয়তাগুলিকে পুনরায় নিশ্চিত করেছে OMB মেমোরেন্ডাম M-23-16 (পিডিএফ), এবং সম্মতির জন্য নির্দিষ্ট সময়সীমা যা দ্রুত এগিয়ে আসছে — সম্ভবত এই বছরের চতুর্থ ত্রৈমাসিকে (গুরুত্বপূর্ণ সফ্টওয়্যারের জন্য) এবং পরের বছরের প্রথম ত্রৈমাসিকে (অন্য সমস্ত সফ্টওয়্যারের জন্য) পৌঁছাতে পারে৷

এর মানে হল যে আগামী কয়েক মাস ধরে, সংস্থাগুলি এই নতুন প্রমাণীকরণের প্রয়োজনীয়তাগুলি বুঝতে এবং কীভাবে তাদের সংস্থাগুলি মেনে চলবে তা নির্ধারণ করতে ঝাঁকুনি দেবে, তারা নিজেরাই যে কোডটি লিখে এবং ওপেন সোর্স উপাদানগুলি যা তারা তাদের সফ্টওয়্যার পণ্যগুলিতে নিয়ে আসে তার জন্য।

M-23-16 অনুযায়ী, অসম্মতির জন্য শাস্তি গুরুতর:

“[ফেডারেল] সংস্থা অবশ্যই সফ্টওয়্যার ব্যবহার বন্ধ করুন যদি সংস্থাটি সফ্টওয়্যার প্রযোজকের ডকুমেন্টেশন অসন্তোষজনক বলে মনে করে বা যদি এজেন্সি নিশ্চিত করতে অক্ষম হয় যে প্রযোজক এমন অনুশীলনগুলি চিহ্নিত করেছেন যা এটি প্রমাণ করতে পারে না...”

ওপেন সোর্সের বিশেষ করে চ্যালেঞ্জিং কেস

যেহেতু অনেক সংস্থাই প্রত্যয়ন সংক্রান্ত প্রয়োজনীয়তাগুলির মধ্যে আরও গভীরভাবে ডুব দিচ্ছে, তারা আবিষ্কার করছে যে সম্মতি, বিশেষত কঠোর সময়সীমার বিরুদ্ধে, চ্যালেঞ্জিং প্রমাণিত হতে পারে। NIST SSDF হল নিরাপত্তার জন্য একটি জটিল কাঠামো, এবং সংস্থাগুলিকে শুধুমাত্র এই অনুশীলনগুলি মেনে চলা নিশ্চিত করতেই সময় লাগবে না, বরং তাদের অনুশীলনগুলিকে বিস্তারিতভাবে নথিভুক্ত করতেও সময় লাগবে৷

কিন্তু আরও ভয়ঙ্কর হল যে সরকার সরবরাহকারীদের তাদের সম্পূর্ণ সফ্টওয়্যার পণ্যের নিরাপত্তা অনুশীলনগুলিকে প্রত্যয়িত করতে বলছে, যার মধ্যে সেই সফ্টওয়্যারের ওপেন সোর্স উপাদানগুলি অন্তর্ভুক্ত রয়েছে। বর্তমানে, আধুনিক সফ্টওয়্যারগুলি প্রায়শই ওপেন সোর্স উপাদানগুলি দিয়ে তৈরি হয় যা কিছু কাস্টম সফ্টওয়্যারের সাথে একত্রিত করা হয়েছে। আমাদের গবেষণায় আমরা তা খুঁজে পেয়েছি 90% এর বেশি অ্যাপ্লিকেশনে ওপেন সোর্স উপাদান থাকে, এবং অনেক ক্ষেত্রে ওপেন সোর্স কোড বেসের 70% এর বেশি তৈরি করে.

আপনার সংস্থা তার নিজস্ব নিরাপত্তা অনুশীলনগুলিকে প্রত্যয়িত করতে পারে, কিন্তু ওপেন সোর্স রক্ষণাবেক্ষণকারীরা যে ওপেন সোর্স কোডটি আপনি আপনার অ্যাপ্লিকেশনগুলিতে ব্যবহার করেন তা লেখেন এবং বজায় রাখেন তাদের দ্বারা অনুসরণ করা নিরাপত্তা অনুশীলনগুলিকে আপনি কীভাবে প্রমাণ করতে পারেন?

এটি একটি বিশাল চ্যালেঞ্জ, এবং সংস্থাগুলি তাদের নিরাপত্তা অনুশীলন সম্পর্কে আরও তথ্যের জন্য ওপেন সোর্স রক্ষণাবেক্ষণকারীদের সন্ধান করছে। দুর্ভাগ্যবশত, এই ওপেন সোর্স রক্ষণাবেক্ষণকারীদের অনেকেই অবৈতনিক স্বেচ্ছাসেবক, যারা ওপেন সোর্সে কাজ করে রাত এবং সপ্তাহান্তে শখের মতো। সুতরাং, তাদের নিরাপত্তা অনুশীলনগুলি NIST SSDF দ্বারা নির্ধারিত উচ্চ মানগুলির সাথে মেলে তা যাচাই করার জন্য অতিরিক্ত কাজ করার জন্য তাদের বলা বাস্তব নয়৷

সংস্থাগুলি এই চ্যালেঞ্জ এড়াতে পারে এমন একটি উপায় হল তাদের অ্যাপ্লিকেশনগুলিতে ওপেন সোর্স ব্যবহার না করা। এবং যদিও এটি তার মুখে একটি সহজ সমাধানের মতো শোনাচ্ছে, এটি একটি ক্রমবর্ধমান অব্যবহারযোগ্য বিকল্পও, কারণ অনেক উপায়ে ওপেন সোর্স প্রকৃতপক্ষে আধুনিক উন্নয়ন প্ল্যাটফর্ম হয়ে উঠেছে।

এই সমস্যাটি সমাধান করার একটি ভাল উপায় হল আপনি যে প্যাকেজগুলির উপর নির্ভর করেন তার রক্ষণাবেক্ষণকারীদের এই গুরুত্বপূর্ণ নিরাপত্তা কাজটি করার জন্য অর্থ প্রদান করা হচ্ছে তা নিশ্চিত করা।

আপনি যে ওপেন সোর্স কম্পোনেন্টগুলি ব্যবহার করছেন সেগুলির পিছনে রক্ষণাবেক্ষণকারী আছে কিনা তা নিশ্চিত করার জন্য আপনাকে অতিরিক্ত গবেষণা করতে হবে - হয় কর্পোরেট সুবিধাভোগীদের দ্বারা, ফাউন্ডেশনগুলির দ্বারা বা বাণিজ্যিক প্রচেষ্টার দ্বারা - তাদের প্যাকেজগুলি এই গুরুত্বপূর্ণ সুরক্ষা মানগুলি পূরণ করে যাচাই করার জন্য৷ অথবা আপনি নিজেও রক্ষণাবেক্ষণকারীদের কাছে পৌঁছাতে পারেন এবং তাদের কাজের কর্পোরেট স্পনসর হতে পারেন। আপনার পদ্ধতির ডিজাইন করার সময়, মনে রাখবেন যে বেশিরভাগ অতুচ্ছ আধুনিক অ্যাপ্লিকেশনের হাজার হাজার স্বতন্ত্র ওপেন সোর্স নির্ভরতা রয়েছে, প্রতিটি আলাদা ব্যক্তি বা দল দ্বারা তৈরি এবং রক্ষণাবেক্ষণ করা হয়, তাই এই পদ্ধতির মাপকাঠি করার জন্য ম্যানুয়াল প্রচেষ্টা যথেষ্ট।

একটি চ্যালেঞ্জিং কিন্তু প্রয়োজনীয় ধাপ এগিয়ে

এই প্রয়োজনীয়তাগুলি মেনে চলা বেদনাদায়ক হতে পারে, কিন্তু ক্রমবর্ধমান নিরাপত্তা দুর্বলতার পটভূমিতে সরকারী ও বেসরকারী খাতের ব্যাপক ক্ষতি করে, এগুলি একটি প্রয়োজনীয় পদক্ষেপ। মার্কিন সরকার হল বিশ্বের পণ্য ও পরিষেবার বৃহত্তম ক্রেতা, এবং এটি অন্যান্য ডোমেনের মতো আইটির ক্ষেত্রেও সত্য। সফ্টওয়্যারের জন্য সামগ্রিক নিরাপত্তা মান উন্নত করার জন্য তার ক্রয় ক্ষমতা ব্যবহার করে, সরকার একটি নিরাপদ, আরও নিরাপদ ভবিষ্যত নিশ্চিত করতে সহায়তা করছে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first