Software an die US-Regierung verkaufen? Informieren Sie sich zuerst über die Sicherheitsbescheinigung

In den letzten Monaten hat die US-Regierung mehrere neue Anforderungen für Organisationen eingeführt, die Software an Regierungsbehörden verkaufen. Da diese neuen Anforderungen komplex sind, sind sich viele Führungskräfte noch nicht sicher, welche Auswirkungen dies auf ihre Organisation haben wird. In diesem Artikel werde ich einige der wichtigsten Konzepte vorstellen, die Sie verstehen müssen, damit Sie Ihre Regierungsgeschäfte schützen und die Vorschriften einhalten können.

Neue Software-Sicherheitsanforderungen: Was hat sich geändert?

In den letzten Jahren kam es zu hochkarätigen Sicherheitsvorfällen wie den Betroffenen SolarWinds und das Open-Source-Paket log4j haben die Aufmerksamkeit der Regierung auf Softwaresicherheit erhöht. Beginnen mit Executive Order 14028 des Weißen Hauses Zur Verbesserung der Cybersicherheit des Landes im Mai 2021 haben eine Reihe von Maßnahmen in den letzten zwei Jahren zu einer Reihe klarer Anforderungen geführt, die sich auf jeden staatlichen Softwarelieferanten auswirken.

Künftig muss jede Organisation, die Software an die US-Regierung verkauft, selbst bestätigen, dass sie den von der Regierung in der US-Regierung dargelegten sicheren Softwareentwicklungspraktiken entspricht NIST Secure Software Development Framework.

Eines der wichtigsten Dinge, die es zu verstehen gilt, ist, dass Unternehmen nicht nur bestätigen müssen, dass sie diese Praktiken selbst für den von ihnen geschriebenen Softwarecode befolgen, sondern auch, dass die Open-Source-Komponenten, die sie in ihre Anwendungen integrieren, diese Praktiken ebenfalls befolgen.

Anfang Juni bekräftigte die Regierung diese Anforderungen erneut OMB-Memorandum M-23-16 (PDF) und legen Sie Fristen für die Einhaltung fest, die immer näher rücken – voraussichtlich im vierten Quartal dieses Jahres (für kritische Software) und im ersten Quartal des nächsten Jahres (für alle andere Software).

Das bedeutet, dass sich Unternehmen in den nächsten Monaten darum bemühen werden, diese neuen Zertifizierungsanforderungen zu verstehen und zu bestimmen, wie ihre Organisation sie einhalten wird, sowohl für den Code, den sie selbst schreiben, als auch für die Open-Source-Komponenten, die sie in ihre Softwareprodukte einbauen.

Laut M-23-16 ist die Strafe bei Nichteinhaltung schwerwiegend:

„Die [Bundes-]Behörde muss die Nutzung der Software einstellen wenn die Agentur die Dokumentation des Softwareherstellers für unbefriedigend hält oder wenn die Agentur nicht bestätigen kann, dass der Hersteller die Praktiken identifiziert hat, die sie nicht bestätigen kann …“

Besonders herausfordernder Fall von Open Source

Da sich viele Organisationen immer tiefer mit den Bescheinigungsanforderungen befassen, stellen sie fest, dass sich die Einhaltung, insbesondere im Hinblick auf knappe Fristen, als Herausforderung erweisen kann. Das NIST SSDF ist ein komplexer Sicherheitsrahmen, und es wird einige Zeit dauern, bis Organisationen nicht nur sicherstellen, dass sie diese Praktiken einhalten, sondern ihre Praktiken auch detailliert dokumentieren.

Aber noch entmutigender ist, dass die Regierung von den Lieferanten verlangt, die Sicherheitspraktiken ihres gesamten Softwareprodukts, einschließlich der Open-Source-Komponenten in dieser Software, zu bestätigen. Heutzutage besteht moderne Software häufig größtenteils aus zusammengeschusterten Open-Source-Komponenten sowie teilweise kundenspezifischer Software. Bei unserer Recherche haben wir das herausgefunden Über 90 % der Anwendungen enthalten Open-Source-Komponenten, und zwar in vielen Fällen Open Source macht mehr als 70 % der Codebasis aus.

Ihre Organisation kann ihre eigenen Sicherheitspraktiken bescheinigen, aber wie genau können Sie die Sicherheitspraktiken bescheinigen, die von den Open-Source-Betreuern befolgt werden, die den Open-Source-Code schreiben und pflegen, den Sie in Ihren Anwendungen verwenden?

Es handelt sich um eine große Herausforderung, und Unternehmen wenden sich an Open-Source-Betreuer, um weitere Informationen zu ihren Sicherheitspraktiken zu erhalten. Leider sind viele dieser Open-Source-Betreuer unbezahlte Freiwillige, die abends und am Wochenende als Hobby an Open Source arbeiten. Daher ist es nicht praktikabel, von ihnen die zusätzliche Arbeit zu verlangen, um zu überprüfen, ob ihre Sicherheitspraktiken den hohen Standards des NIST SSDF entsprechen.

Eine Möglichkeit für Unternehmen, diese Herausforderung zu vermeiden, besteht darin, in ihren Anwendungen einfach auf die Verwendung von Open Source zu verzichten. Und obwohl das auf den ersten Blick wie eine einfache Lösung klingt, ist es auch eine zunehmend unpraktische Alternative, da Open Source in vielerlei Hinsicht de facto zur modernen Entwicklungsplattform geworden ist.

Eine bessere Möglichkeit, dieses Problem zu lösen, besteht darin, sicherzustellen, dass die Betreuer der Pakete, auf die Sie sich verlassen, für diese wichtige Sicherheitsarbeit bezahlt werden.

Dies kann erfordern, dass Sie zusätzliche Nachforschungen anstellen, um sicherzustellen, dass hinter den Open-Source-Komponenten, die Sie verwenden, Betreuer stehen, die – entweder von Unternehmensförderern, von Stiftungen oder durch kommerzielle Bemühungen – dafür bezahlt werden, dass ihre Pakete diese wichtigen Sicherheitsstandards erfüllen. Oder Sie können sich sogar selbst an die Betreuer wenden und ein Unternehmenssponsor für deren Arbeit werden. Bedenken Sie beim Entwerfen Ihres Ansatzes, dass die meisten nicht trivialen modernen Anwendungen über Tausende unterschiedlicher Open-Source-Abhängigkeiten verfügen, die jeweils von einer anderen Person oder einem anderen Team erstellt und verwaltet werden. Daher ist der manuelle Aufwand zur Skalierung dieses Ansatzes beträchtlich.

Ein herausfordernder, aber notwendiger Schritt nach vorne

Die Einhaltung dieser Anforderungen mag mühsam sein, aber vor dem Hintergrund zunehmender Sicherheitslücken, die dem öffentlichen und privaten Sektor massiven Schaden zufügen, sind sie ein notwendiger Schritt nach vorne. Die US-Regierung ist der größte Käufer von Waren und Dienstleistungen weltweit, und das gilt für die IT ebenso wie für andere Bereiche. Indem die Regierung ihre Kaufkraft nutzt, um Verbesserungen des allgemeinen Sicherheitsstandards für Software zu erzwingen, trägt sie dazu bei, eine sicherere Zukunft zu gewährleisten.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first