کالین تیری
منتشر شده در: سپتامبر 16، 2022
کاخ سفید روز چهارشنبه دستورالعملهای امنیت سایبری را برای فروشندگان نرمافزار منتشر کرد که به عنوان تمدید فرمان اجرایی رئیسجمهور جو بایدن در سال ۲۰۲۱ امضا شد.
بایدن در ماه مه 2021 «بهبود امنیت سایبری کشور» را امضا کرد که برنامههایی را برای مدرنسازی رویکرد امنیت سایبری ایالات متحده و اجرای تکنیکهایی مانند احراز هویت چندعاملی تشریح کرد. یک قسمت از دستور اجرایی به برنامههایی برای ارائه دستورالعملهایی برای نرمافزار خریداریشده و مستقر در شبکههای دولتی اشاره کرد که در روز چهارشنبه موجود بود. یادداشت.
در یک کاخ سفید بیانیه همچنین در روز چهارشنبه، کریس دروشا، معاون مدیر ملی سایبری CISO فدرال و معاون مدیر ملی سایبری گفت که اگرچه تنها معیار کیفیت برای یک نرمافزار قبلاً این بود که آیا آنطور که تبلیغ میشد کار میکرد، فناوری امروز باید به گونهای توسعه یابد که آن را انعطافپذیر و ایمن کند. .
"راهنمای توسعه یافته با ورودی بخش دولتی و خصوصی و همچنین دانشگاه ها، آژانس ها را هدایت می کند تا فقط از نرم افزارهایی استفاده کنند که با استانداردهای توسعه نرم افزار ایمن مطابقت دارد، یک فرم خودتأثیر برای تولیدکنندگان و آژانس های نرم افزار ایجاد می کند و به دولت فدرال اجازه می دهد. برای شناسایی سریع شکافهای امنیتی در صورت کشف آسیبپذیریهای جدید.»
دستورالعمل امنیت سایبری بایدن همچنین سازمان های دولتی فدرال را ملزم به دریافت فرم خودتأثیری از یک فروشنده نرم افزاری می کند که تأیید می کند محصول با دستورالعمل های امنیتی مطابقت دارد. موسسه ملی استاندارد و فناوری (NIST) قبل از استفاده از هر نرم افزار جدید
بسته به آژانس، فروشنده نرم افزار همچنین ممکن است مجبور باشد از طریق مصنوعاتی از جمله صورتحساب مواد نرم افزاری (SBOM) مطابقت خود را ثابت کند. علاوه بر این، ممکن است از فروشنده خواسته شود شواهدی ارائه دهد که نشان دهد در برنامه افشای آسیب پذیری شرکت می کند.
در حالی که دستور اجرایی و دستورالعملها از نظر قانونی فروشندگان خصوصی را ملزم به انتشار نرمافزار ایمن و سازگار نمیکند، DeRusha گفت که این اقدام پس از حمله زنجیره تامین SolarWinds در سال 2020 ضروری بود. این حمله سایبری منجر به قربانی شدن چندین سازمان دولتی در نقض دادهها شد.
این حادثه یکی از مجموعهای از نفوذهای سایبری و آسیبپذیریهای نرمافزاری قابل توجه در دو سال گذشته بود که ارائه خدمات دولتی به مردم و همچنین یکپارچگی حجم وسیعی از اطلاعات شخصی و دادههای تجاری را که توسط مدیریت میشود، تهدید کرده است. دروشا در بیانیه خود افزود: بخش خصوصی.