कॉलिन थियरी
व्हाइट हाउस ने बुधवार को सॉफ्टवेयर विक्रेताओं के लिए साइबर सुरक्षा मार्गदर्शन जारी किया, जो एक कार्यकारी आदेश के विस्तार के रूप में कार्य करता है जिसे राष्ट्रपति जो बिडेन ने 2021 में हस्ताक्षरित किया था।
बिडेन ने 2021 के मई में "राष्ट्र की साइबर सुरक्षा में सुधार" पर हस्ताक्षर किए, जिसने संयुक्त राज्य अमेरिका के साइबर सुरक्षा दृष्टिकोण को आधुनिक बनाने और मल्टीफैक्टर प्रमाणीकरण जैसी तकनीकों को लागू करने की योजना को रेखांकित किया। का एक हिस्सा कार्यकारी आदेश सरकारी नेटवर्क के भीतर खरीदे और तैनात किए गए सॉफ़्टवेयर के लिए दिशानिर्देश प्रदान करने के लिए संदर्भित योजनाएं, जो बुधवार के में शामिल थीं ज्ञापन.
एक व्हाइट हाउस में कथन बुधवार को भी पोस्ट किया गया, फेडरल सीआईएसओ और उप राष्ट्रीय साइबर निदेशक क्रिस डीरुशा ने कहा कि सॉफ्टवेयर के एक टुकड़े के लिए गुणवत्ता का एकमात्र मानदंड यह है कि क्या यह विज्ञापित के रूप में काम करता है, आज प्रौद्योगिकी को इस तरह से विकसित किया जाना चाहिए जो इसे लचीला और सुरक्षित बनाता है .
"दिशानिर्देश, सार्वजनिक और निजी क्षेत्र के साथ-साथ अकादमिक से इनपुट के साथ विकसित, एजेंसियों को केवल सॉफ्टवेयर का उपयोग करने के लिए निर्देशित करता है जो सुरक्षित सॉफ्टवेयर विकास मानकों का अनुपालन करता है, सॉफ्टवेयर उत्पादकों और एजेंसियों के लिए एक स्व-सत्यापन फॉर्म बनाता है, और संघीय सरकार को अनुमति देगा नई कमजोरियों का पता चलने पर सुरक्षा कमियों की शीघ्र पहचान करने के लिए, ”उन्होंने कहा।
बिडेन के साइबर सुरक्षा मार्गदर्शन के लिए संघीय सरकारी एजेंसियों को एक सॉफ्टवेयर विक्रेता से स्व-सत्यापन फॉर्म प्राप्त करने की भी आवश्यकता होती है जो यह पुष्टि करता है कि उत्पाद सुरक्षा मार्गदर्शन के अनुरूप है। राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) किसी भी नए सॉफ्टवेयर का उपयोग करने से पहले।
एजेंसी के आधार पर, सॉफ़्टवेयर विक्रेता को सामग्री के सॉफ़्टवेयर बिल (SBOM) सहित कलाकृतियों के माध्यम से अनुपालन साबित करना पड़ सकता है। इसके अतिरिक्त, विक्रेता को यह सबूत देने की आवश्यकता हो सकती है कि वह एक भेद्यता प्रकटीकरण कार्यक्रम में भाग लेता है।
जबकि कार्यकारी आदेश और दिशानिर्देशों के लिए कानूनी रूप से निजी विक्रेताओं को सुरक्षित और अनुपालन सॉफ्टवेयर जारी करने की आवश्यकता नहीं है, DeRusha ने कहा कि यह कार्रवाई 2020 में SolarWinds आपूर्ति श्रृंखला हमले के बाद आवश्यक थी। इस साइबर हमले के कारण कई सरकारी एजेंसियां डेटा उल्लंघनों का शिकार हुईं।
"यह घटना पिछले दो वर्षों में साइबर घुसपैठ और महत्वपूर्ण सॉफ्टवेयर कमजोरियों में से एक थी, जिसने जनता को सरकारी सेवाओं के वितरण के साथ-साथ बड़ी मात्रा में व्यक्तिगत जानकारी और व्यावसायिक डेटा की अखंडता को खतरे में डाल दिया है। निजी क्षेत्र, ”डीरुशा ने अपने बयान में कहा।
