Sælger du software til den amerikanske regering? Kend først sikkerhedsattesten

I løbet af de sidste mange måneder har den amerikanske regering indført flere nye krav, der påvirker organisationer, der sælger software til offentlige myndigheder. Fordi disse nye krav er komplekse, er mange ledere endnu ikke sikre på, hvordan deres organisation vil blive påvirket. I denne artikel vil jeg dele nogle af de vigtigste begreber, du skal forstå, så du kan beskytte din offentlige virksomhed og forblive i overensstemmelse.

Nye softwaresikkerhedskrav: Hvad er ændret?

I løbet af de sidste mange år, højprofilerede sikkerhedshændelser som dem, der har ramt SolarWinds og open source-pakken log4j har øget regeringens opmærksomhed på softwaresikkerhed. Starter med Det Hvide Hus bekendtgørelse 14028 om at forbedre landets cybersikkerhed i maj 2021, har en række tiltag i løbet af de sidste to år ført til et sæt klare krav, som påvirker enhver statslig softwareleverandør.

Fremover vil enhver organisation, der sælger software til den amerikanske regering, være forpligtet til selv at attestere, at den er i overensstemmelse med den sikre softwareudviklingspraksis skitseret af regeringen i NIST Secure Software Development Framework.

En af de vigtigste ting at forstå er, at organisationer ikke blot skal attestere, at de selv følger denne praksis for den softwarekode, de skriver, men også at de open source-komponenter, de trækker ind i deres applikationer, også følger denne praksis.

I begyndelsen af ​​juni bekræftede regeringen disse krav i OMB-memorandum M-23-16 (PDF), og sæt deadlines for overholdelse, der nærmer sig hastigt - sandsynligvis ankomme i fjerde kvartal af dette år (for kritisk software) og første kvartal næste år (for al anden software).

Det betyder, at organisationer i løbet af de næste par måneder vil kæmpe for at forstå disse nye attestationskrav og bestemme, hvordan deres organisation vil overholde, både for den kode, de selv skriver, og de open source-komponenter, som de bringer ind i deres softwareprodukter.

Ifølge M-23-16 er straffen for manglende overholdelse streng:

"Det [føderale] agentur skal afbryde brugen af ​​softwaren hvis bureauet finder softwareproducentens dokumentation utilfredsstillende, eller hvis bureauet ikke er i stand til at bekræfte, at producenten har identificeret den praksis, som den ikke kan attestere...”

Særligt udfordrende tilfælde af Open Source

Efterhånden som mange organisationer dykker dybere ned i attestationskravene, opdager de, at overholdelse, især i forhold til stramme deadlines, kan vise sig at være en udfordring. NIST SSDF er en kompleks ramme for sikkerhed, og det vil tage tid for organisationer ikke kun at sikre, at de overholder denne praksis, men også dokumentere deres praksis i detaljer.

Men endnu mere skræmmende er det, at regeringen beder leverandører om at attestere sikkerhedspraksis for hele deres softwareprodukt, som inkluderer open source-komponenterne i den software. I dag består moderne software ofte hovedsageligt af open source-komponenter, der er blevet flettet sammen, sammen med noget tilpasset software. I vores forskning har vi fundet det over 90 % af applikationerne indeholder open source-komponenter, og i mange tilfælde open source udgør mere end 70 % af kodebasen.

Din organisation kan attestere sin egen sikkerhedspraksis, men hvordan kan du præcist attestere den sikkerhedspraksis, der følges af open source-vedligeholdere, som skriver og vedligeholder den open source-kode, du bruger i dine applikationer?

Det er en stor udfordring, og organisationer søger open source-vedligeholdere for at få mere information om deres sikkerhedspraksis. Desværre er mange af disse open source-vedligeholdere ulønnede frivillige, som arbejder med open source som en hobby om aftenen og i weekenden. Så det er ikke praktisk at bede dem om at gøre det ekstra arbejde for at validere, at deres sikkerhedspraksis matcher de høje standarder, der er fastsat af NIST SSDF.

En måde organisationer kan undgå denne udfordring på, er bare ikke at bruge open source i deres applikationer. Og selvom det umiddelbart lyder som en simpel løsning, er det også et stadig mere ulevedygtigt alternativ, da open source på mange måder er blevet den de facto moderne udviklingsplatform.

En bedre måde at løse dette problem på er at sikre, at vedligeholderne af de pakker, du stoler på, bliver betalt for at udføre dette vigtige sikkerhedsarbejde.

Dette kan kræve, at du laver ekstra research for at sikre, at de open source-komponenter, du bruger, har vedligeholdere bag sig, som bliver betalt - enten af ​​virksomheders velgørere, af fonde eller af kommercielle bestræbelser - for at validere deres pakker opfylder disse vigtige sikkerhedsstandarder. Eller du kan endda selv nå ud til vedligeholdere og blive firmasponsor for deres arbejde. Når du designer din tilgang, skal du huske på, at de fleste ikke-trivielle moderne applikationer har tusindvis af særskilte open source-afhængigheder, som hver er skabt og vedligeholdt af en anden person eller team, så den manuelle indsats for at skalere denne tilgang er betydelig.

Et udfordrende, men nødvendigt skridt fremad

Disse krav kan være smertefulde at overholde, men på baggrund af stigende sikkerhedssårbarheder, der gør massiv skade på den offentlige og private sektor, er de et nødvendigt skridt fremad. Den amerikanske regering er den største køber af varer og tjenester i verden, og det er lige så sandt for IT, som det er for andre domæner. Ved at bruge sin købekraft til at fremtvinge forbedringer af den overordnede sikkerhedsstandard for software, er regeringen med til at sikre en sikrere og mere sikker fremtid.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first