미국 정부에 소프트웨어 판매? 보안 증명 먼저 알기

지난 몇 달 동안 미국 정부는 정부 기관에 소프트웨어를 판매하는 조직에 영향을 미치는 몇 가지 새로운 요구 사항을 도입했습니다. 이러한 새로운 요구 사항은 복잡하기 때문에 많은 리더가 조직에 어떤 영향을 미칠지 아직 확신하지 못하고 있습니다. 이 기사에서는 정부 사업을 보호하고 규정을 준수하기 위해 이해해야 할 가장 중요한 개념 중 일부를 공유합니다.

새로운 소프트웨어 보안 요구 사항: 무엇이 변경되었습니까?

지난 몇 년 동안 영향을 받은 것과 같은 세간의 이목을 끄는 보안 사고 SolarWinds 오픈 소스 패키지 로그4j 소프트웨어 보안에 대한 정부의 관심이 높아졌습니다. 로 시작 백악관 행정 명령 14028 2021년 XNUMX월 국가 사이버 보안 개선에 대해 지난 XNUMX년 동안 일련의 조치를 통해 모든 정부 소프트웨어 공급업체에 영향을 미치는 일련의 명확한 요구 사항이 도출되었습니다.

앞으로 미국 정부에 소프트웨어를 판매하는 모든 조직은 정부가 규정한 안전한 소프트웨어 개발 관행을 준수함을 자체적으로 증명해야 합니다. NIST 보안 소프트웨어 개발 프레임워크.

이해해야 할 가장 중요한 사항 중 하나는 조직이 자신이 작성하는 소프트웨어 코드에 대해 이러한 관행을 따르고 있음을 증명해야 할 뿐만 아니라 애플리케이션에 가져오는 오픈 소스 구성 요소도 이러한 관행을 따르고 있음을 증명해야 한다는 것입니다.

XNUMX월 초에 정부는 이러한 요구 사항을 다음과 같이 재확인했습니다. OMB 각서 M-23-16 (PDF), 올해 XNUMX분기(중요한 소프트웨어의 경우) 및 내년 XNUMX분기(기타 모든 소프트웨어의 경우)에 도달할 예정인 규정 준수 기한을 설정합니다.

즉, 향후 몇 개월 동안 조직은 이러한 새로운 증명 요구 사항을 이해하고 자체적으로 작성하는 코드와 소프트웨어 제품에 도입하는 오픈 소스 구성 요소 모두에 대해 조직이 준수할 방법을 결정하기 위해 안간힘을 쓰게 될 것입니다.

M-23-16에 따르면 위반에 대한 처벌은 엄격합니다.

“[연방] 기관은 반드시 소프트웨어 사용 중단 기관이 소프트웨어 제작자의 문서가 불만족스럽다고 판단하거나 기관이 증명할 수 없는 관행을 제작자가 식별했음을 확인할 수 없는 경우…

오픈 소스의 특히 도전적인 사례

많은 조직이 증명 요구 사항에 대해 더 깊이 파고들면서 특히 촉박한 기한에 대한 규정 준수가 어려울 수 있음을 발견하고 있습니다. NIST SSDF는 보안을 위한 복잡한 프레임워크이며 조직이 이러한 관행을 준수하는지 확인하고 관행을 자세히 문서화하는 데 시간이 걸립니다.

그러나 더욱 벅찬 것은 정부가 공급자에게 해당 소프트웨어의 오픈 소스 구성 요소를 포함하는 전체 소프트웨어 제품의 보안 관행을 증명하도록 요구하고 있다는 것입니다. 오늘날 최신 소프트웨어는 종종 일부 맞춤형 소프트웨어와 함께 한데 뭉쳐진 오픈 소스 구성 요소로 주로 구성됩니다. 우리 연구에서 우리는 애플리케이션의 90% 이상이 오픈 소스 구성 요소를 포함합니다., 그리고 많은 경우에 오픈 소스는 코드 베이스의 70% 이상을 차지합니다..

귀하의 조직은 자체 보안 관행을 증명할 수 있지만 애플리케이션에서 사용하는 오픈 소스 코드를 작성하고 유지 관리하는 오픈 소스 관리자가 따르는 보안 관행을 정확히 어떻게 증명할 수 있습니까?

이는 엄청난 도전이며 조직은 보안 관행에 대한 자세한 정보를 얻기 위해 오픈 소스 관리자를 찾고 있습니다. 불행하게도 이러한 오픈 소스 관리자 중 다수는 밤과 주말에 취미로 오픈 소스 작업을 하는 무급 자원봉사자입니다. 따라서 보안 관행이 NIST SSDF에서 설정한 높은 표준과 일치하는지 확인하기 위해 추가 작업을 수행하도록 요청하는 것은 실용적이지 않습니다.

조직이 이 문제를 피할 수 있는 한 가지 방법은 애플리케이션에서 오픈 소스를 사용하지 않는 것입니다. 표면적으로는 간단한 솔루션처럼 들리지만, 여러 면에서 오픈 소스가 사실상의 현대적인 개발 플랫폼이 되었기 때문에 점점 실행 불가능한 대안이 되고 있습니다.

이 문제를 해결하는 더 좋은 방법은 당신이 의존하는 패키지의 관리자가 이 중요한 보안 작업을 수행하도록 보수를 받고 있는지 확인하는 것입니다.

이를 위해서는 사용 중인 오픈 소스 구성 요소가 패키지가 이러한 중요한 보안 표준을 충족하는지 확인하기 위해 기업 후원자, 재단 또는 상업적 노력을 통해 보수를 받는 유지 관리자가 있는지 확인하기 위해 추가 조사를 수행해야 할 수 있습니다. 또는 관리자에게 직접 연락하여 작업의 기업 후원자가 될 수도 있습니다. 접근 방식을 설계할 때 대부분의 중요하지 않은 최신 애플리케이션에는 서로 다른 개인이나 팀이 만들고 유지 관리하는 수천 개의 고유한 오픈 소스 종속성이 있으므로 이 접근 방식을 확장하기 위한 수동 작업이 상당하다는 점을 염두에 두십시오.

도전적이지만 필요한 단계

이러한 요구 사항은 준수하기가 어려울 수 있지만 공공 및 민간 부문에 막대한 피해를 주는 보안 취약성이 증가하는 상황에서 필요한 조치입니다. 미국 정부는 세계 최대의 상품 및 서비스 구매자이며 이는 다른 영역에서와 마찬가지로 IT에서도 마찬가지입니다. 구매력을 사용하여 소프트웨어에 대한 전반적인 보안 표준을 개선함으로써 정부는 더 안전하고 안전한 미래를 보장하는 데 도움을 주고 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first