콜린 티에리
백악관은 조 바이든 대통령이 2021년 서명한 행정명령의 연장선 역할을 한 소프트웨어 공급업체를 위한 사이버보안 지침을 수요일 발표했다.
Biden은 2021년 XNUMX월 미국의 사이버 보안 접근 방식을 현대화하고 다단계 인증과 같은 기술을 구현하기 위한 계획을 설명하는 "국가의 사이버 보안 개선"에 서명했습니다. 한 부분은 행정 명령 수요일에 포함된 정부 네트워크 내에서 구매 및 배포된 소프트웨어에 대한 지침을 제공할 계획을 언급했습니다. 각서.
백악관에서 성명서 또한 수요일에 게시된 연방 CISO이자 국가 사이버 부국장인 Chris DeRusha는 소프트웨어의 품질에 대한 유일한 기준은 예전에는 그것이 광고한 대로 작동하는지 여부였지만 오늘날의 기술은 탄력성과 보안을 유지하는 방식으로 개발되어야 한다고 말했습니다. .
“공공 및 민간 부문은 물론 학계의 의견을 반영하여 개발된 이 지침은 기관이 보안 소프트웨어 개발 표준을 준수하는 소프트웨어만 사용하도록 지시하고, 소프트웨어 생산자와 기관을 위한 자체 인증 양식을 생성하며, 연방 정부가 새로운 취약점이 발견되면 보안 격차를 신속하게 식별할 수 있습니다.”라고 그는 말했습니다.
Biden의 사이버 보안 지침은 또한 연방 정부 기관이 소프트웨어 공급업체로부터 제품이 보안 지침을 준수함을 확인하는 자체 인증 양식을 획득하도록 요구했습니다. 국립 표준 기술 연구소 (NIST) 새로운 소프트웨어를 사용하기 전에.
기관에 따라 소프트웨어 공급업체는 소프트웨어 재료 명세서(SBOM)를 포함한 아티팩트를 통해 규정 준수를 입증해야 할 수도 있습니다. 또한 공급업체는 취약점 공개 프로그램에 참여하고 있다는 증거를 제공해야 할 수도 있습니다.
행정 명령과 지침은 민간 공급업체가 안전하고 규정을 준수하는 소프트웨어를 출시하도록 법적으로 요구하지 않지만 DeRusha는 2020년 SolarWinds 공급망 공격 이후 이러한 조치가 필요했다고 말했습니다. 이 사이버 공격으로 인해 여러 정부 기관이 데이터 침해의 희생양이 되었습니다.
“이 사건은 지난 XNUMX년 동안 대중에게 정부 서비스를 제공하는 것뿐만 아니라 정부가 관리하는 방대한 양의 개인 정보 및 비즈니스 데이터의 무결성을 위협한 일련의 사이버 침입과 심각한 소프트웨어 취약성 중 하나였습니다. 민간 부문”이라고 DeRusha가 성명서에 덧붙였습니다.
