Kas müüte tarkvara USA valitsusele? Kõigepealt tutvuge turvatunnistusega

Viimase mitme kuu jooksul on USA valitsus kehtestanud mitmeid uusi nõudeid, mis mõjutavad valitsusasutustele tarkvara müüvaid organisatsioone. Kuna need uued nõuded on keerulised, pole paljud juhid veel kindlad, kuidas nende organisatsiooni see mõjutab. Selles artiklis jagan mõningaid kõige olulisemaid mõisteid, mida peate mõistma, et saaksite kaitsta oma riigiettevõtteid ja järgida eeskirju.

Uued tarkvara turvanõuded: mis on muutunud?

Viimase mitme aasta jooksul on selliseid kõrgetasemelisi turvaintsidente, nagu need, mis mõjutasid SolarWinds ja avatud lähtekoodiga pakett log4j on suurendanud valitsuse tähelepanu tarkvara turvalisusele. Alustades sellest Valge Maja korraldus 14028 2021. aasta mais riigi küberjulgeoleku parandamiseks on viimase kahe aasta jooksul võetud mitmed meetmed kaasa toonud selged nõuded, mis mõjutavad kõiki valitsusasutuste tarkvaratarnijaid.

Edaspidi peavad kõik USA valitsusele tarkvara müüvad organisatsioonid ise kinnitama, et nad järgivad valitsuse poolt dokumendis kirjeldatud turvalise tarkvara arendamise tavasid. NIST Secure Software Development Framework.

Üks kõige olulisemaid asju, mida mõista, on see, et organisatsioonid ei pea lihtsalt kinnitama, et nad järgivad neid tavasid oma kirjutatud tarkvarakoodi puhul, vaid ka seda, et avatud lähtekoodiga komponendid, mida nad oma rakendustesse lisavad, järgivad neid tavasid.

Juuni alguses kinnitas valitsus need nõuded aastal OMB memorandum M-23-16 (PDF) ja seadke nõuetele vastavuse tähtajad, mis lähenevad kiiresti – tõenäoliselt saabuvad need käesoleva aasta neljandas kvartalis (kriitilise tarkvara puhul) ja järgmise aasta esimeses kvartalis (kõik muu tarkvara puhul).

See tähendab, et järgmise paari kuu jooksul püüavad organisatsioonid mõista neid uusi atesteerimisnõudeid ja teha kindlaks, kuidas nende organisatsioon järgib nii enda kirjutatud koodi kui ka tarkvaratoodetesse kaasatud avatud lähtekoodiga komponente.

M-23-16 kohaselt on karistus rikkumiste eest karm:

„[föderaal] agentuur peab lõpetage tarkvara kasutamine kui agentuur leiab, et tarkvaratootja dokumentatsioon ei ole rahuldav või kui agentuur ei suuda kinnitada, et tootja on tuvastanud praktikad, mida ta ei saa tõendada…”

Eriti keeruline avatud lähtekoodiga juhtum

Kuna paljud organisatsioonid süvenevad atesteerimisnõuetesse, avastavad nad, et nõuete järgimine, eriti rangete tähtaegade puhul, võib osutuda keeruliseks. NIST SSDF on keeruline turvaraamistik ja organisatsioonidel kulub aega, et mitte ainult tagada nende tavade järgimine, vaid ka oma tavade üksikasjalik dokumenteerimine.

Kuid veelgi hirmutavam on see, et valitsus palub tarnijatel kinnitada kogu oma tarkvaratoote, mis hõlmab selle tarkvara avatud lähtekoodiga komponente, turvatavasid. Tänapäeval koosneb kaasaegne tarkvara sageli suures osas avatud lähtekoodiga komponentidest, mis on kokku pandud, koos mõne kohandatud tarkvaraga. Oma uurimistöös leidsime selle üle 90% rakendustest sisaldavad avatud lähtekoodiga komponente, ja paljudel juhtudel avatud lähtekood moodustab enam kui 70% koodibaasist.

Teie organisatsioon saab kinnitada oma turvatavasid, kuid kuidas saate täpselt kinnitada turvatavasid, mida järgivad avatud lähtekoodiga hooldajad, kes kirjutavad ja hooldavad teie rakendustes kasutatavat avatud lähtekoodi?

See on suur väljakutse ja organisatsioonid otsivad avatud lähtekoodiga hooldajatelt lisateavet oma turvatavade kohta. Kahjuks on paljud neist avatud lähtekoodiga hooldajatest tasustamata vabatahtlikud, kes töötavad avatud lähtekoodiga hobi korras öösiti ja nädalavahetustel. Seega pole otstarbekas nõuda neilt lisatööd, et kinnitada, kas nende turvatavad vastavad NIST SSDF-i seatud kõrgetele standarditele.

Üks viis, kuidas organisatsioonid saavad seda väljakutset vältida, on lihtsalt mitte kasutada oma rakendustes avatud lähtekoodi. Ja kuigi see tundub pealtnäha lihtsa lahendusena, on see ka üha elujõuetu alternatiiv, kuna avatud lähtekoodist on paljuski saanud de facto kaasaegne arendusplatvorm.

Parem viis selle probleemi lahendamiseks on tagada, et teie kasutatavate pakettide hooldajatele makstakse selle olulise turvatöö eest tasu.

See võib nõuda täiendavat uurimistööd tagamaks, et kasutatavate avatud lähtekoodiga komponentide taga on hooldajad, kellele maksavad – kas ettevõtete heategijad, sihtasutused või ärilised jõupingutused –, et kontrollida, kas nende paketid vastavad neile olulistele turvastandarditele. Või võite isegi ise hooldajate poole pöörduda ja saada nende töö ettevõtte sponsoriks. Oma lähenemisviisi kavandades pidage meeles, et enamikul mittetriviaalsetel kaasaegsetel rakendustel on tuhandeid erinevaid avatud lähtekoodiga sõltuvusi, millest igaüks on loodud ja mida haldab erinev isik või meeskond, seega on selle lähenemisviisi kohandamine käsitsi märkimisväärne.

Väljakutsuv, kuid vajalik samm edasi

Nende nõuete täitmine võib olla valus, kuid avalikule ja erasektorile tohutut kahju tekitavate turvaaukude suurenemise taustal on need vajalikud sammud edasi. USA valitsus on suurim kaupade ja teenuste ostja maailmas ning see kehtib nii IT kui ka muude valdkondade kohta. Kasutades oma ostujõudu, et sundida täiustama tarkvara üldist turbestandardit, aitab valitsus tagada turvalisema ja turvalisema tuleviku.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first