W ciągu ostatnich kilku miesięcy rząd Stanów Zjednoczonych wprowadził kilka nowych wymagań dotyczących organizacji sprzedających oprogramowanie agencjom rządowym. Ponieważ te nowe wymagania są złożone, wielu liderów nie jest jeszcze pewnych, w jaki sposób wpłynie to na ich organizację. W tym artykule podzielę się niektórymi z najważniejszych pojęć, które musisz zrozumieć, aby chronić swoją działalność rządową i zachować zgodność.
Nowe wymagania dotyczące bezpieczeństwa oprogramowania: co się zmieniło?
W ciągu ostatnich kilku lat głośne incydenty związane z bezpieczeństwem, takie jak te, które miały wpływ SolarWinds oraz pakiet open source log4j zwiększyły zainteresowanie rządu bezpieczeństwem oprogramowania. Począwszy od Rozporządzenie wykonawcze Białego Domu 14028 w sprawie poprawy bezpieczeństwa cybernetycznego kraju w maju 2021 r., seria działań w ciągu ostatnich dwóch lat doprowadziła do powstania zestawu jasnych wymagań, które mają wpływ na każdego dostawcę oprogramowania rządowego.
W przyszłości każda organizacja sprzedająca oprogramowanie rządowi Stanów Zjednoczonych będzie musiała samodzielnie zaświadczyć, że jest zgodna z praktykami dotyczącymi bezpiecznego tworzenia oprogramowania określonymi przez rząd w Bezpieczne ramy programistyczne NIST.
Jedną z najważniejszych rzeczy do zrozumienia jest to, że organizacje nie mogą po prostu zaświadczyć, że same przestrzegają tych praktyk w odniesieniu do kodu oprogramowania, który piszą, ale także, że komponenty open source, które włączają do swoich aplikacji, również są zgodne z tymi praktykami.
Na początku czerwca rząd potwierdził te wymagania w r Memorandum OMB M-23-16 (PDF) i ustal terminy osiągnięcia zgodności, które szybko się zbliżają — prawdopodobnie w czwartym kwartale tego roku (w przypadku oprogramowania krytycznego) i pierwszym kwartale przyszłego roku (w przypadku wszystkich pozostałych programów).
Oznacza to, że w ciągu najbliższych kilku miesięcy organizacje będą starały się zrozumieć te nowe wymagania dotyczące zaświadczeń i określić, w jaki sposób ich organizacja będzie przestrzegać, zarówno kodu, który sami piszą, jak i komponentów open source, które wprowadzają do swoich produktów oprogramowania.
Według M-23-16 kara za niezgodność jest surowa:
„Agencja [federalna] musi zaprzestania korzystania z oprogramowania jeśli agencja uzna dokumentację producenta oprogramowania za niezadowalającą lub jeśli agencja nie jest w stanie potwierdzić, że producent zidentyfikował praktyki, o których nie może zaświadczyć…”
Szczególnie trudny przypadek Open Source
Ponieważ wiele organizacji zagłębia się w wymagania dotyczące atestów, odkrywa, że przestrzeganie ich, zwłaszcza w przypadku napiętych terminów, może okazać się trudne. NIST SSDF to złożona struktura bezpieczeństwa, a organizacjom zajmie trochę czasu, aby nie tylko upewnić się, że przestrzegają tych praktyk, ale także szczegółowo udokumentować swoje praktyki.
Ale jeszcze bardziej zniechęcające jest to, że rząd prosi dostawców o poświadczenie praktyk bezpieczeństwa całego ich oprogramowania, które obejmuje komponenty open source w tym oprogramowaniu. Obecnie nowoczesne oprogramowanie często składa się głównie z komponentów open source, które zostały połączone razem, wraz z oprogramowaniem niestandardowym. W naszych badaniach znaleźliśmy to ponad 90% aplikacji zawiera komponenty open source, iw wielu przypadkach open source stanowi ponad 70% bazy kodu.
Twoja organizacja może poświadczyć własne praktyki bezpieczeństwa, ale jak dokładnie możesz poświadczyć praktyki bezpieczeństwa stosowane przez opiekunów open source, którzy piszą i utrzymują kod open source używany w twoich aplikacjach?
To ogromne wyzwanie, a organizacje szukają opiekunów open source, aby uzyskać więcej informacji na temat ich praktyk w zakresie bezpieczeństwa. Niestety, wielu z tych opiekunów open source to nieopłacani wolontariusze, którzy pracują nad open source jako hobby w nocy iw weekendy. Tak więc proszenie ich o wykonanie dodatkowej pracy w celu sprawdzenia, czy ich praktyki bezpieczeństwa odpowiadają wysokim standardom określonym przez NIST SSDF, nie jest praktyczne.
Jednym ze sposobów, w jaki organizacje mogą uniknąć tego wyzwania, jest po prostu nieużywanie oprogramowania open source w swoich aplikacjach. I chociaż na pierwszy rzut oka brzmi to jak proste rozwiązanie, jest to również coraz bardziej nieopłacalna alternatywa, ponieważ open source pod wieloma względami stało się de facto nowoczesną platformą programistyczną.
Lepszym sposobem rozwiązania tego problemu jest upewnienie się, że opiekunowie pakietów, na których polegasz, otrzymują wynagrodzenie za wykonanie tej ważnej pracy związanej z bezpieczeństwem.
Może to wymagać przeprowadzenia dodatkowych badań, aby upewnić się, że komponenty open source, z których korzystasz, mają za sobą opiekunów, którzy są opłacani — albo przez dobroczyńców korporacyjnych, przez fundacje, albo przez wysiłki komercyjne — w celu sprawdzenia, czy ich pakiety spełniają te ważne standardy bezpieczeństwa. Możesz też sam skontaktować się z opiekunami i zostać korporacyjnym sponsorem ich pracy. Projektując swoje podejście, należy pamiętać, że większość nietrywialnych nowoczesnych aplikacji ma tysiące odrębnych zależności typu open source, z których każda została stworzona i obsługiwana przez inną osobę lub zespół, więc ręczne nakłady na skalowanie tego podejścia są znaczne.
Trudny, ale konieczny krok naprzód
Spełnienie tych wymagań może być bolesne, ale w kontekście rosnących luk w zabezpieczeniach, które powodują ogromne szkody w sektorze publicznym i prywatnym, są one niezbędnym krokiem naprzód. Rząd Stanów Zjednoczonych jest największym nabywcą towarów i usług na świecie i dotyczy to zarówno IT, jak i innych dziedzin. Wykorzystując swoją siłę nabywczą do wymuszania ulepszeń ogólnego standardu bezpieczeństwa oprogramowania, rząd pomaga zapewnić bezpieczniejszą przyszłość.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 2021
- 7
- a
- O nas
- działania
- wpływający
- przed
- agencje
- agencja
- Wszystkie kategorie
- wzdłuż
- również
- alternatywny
- an
- i
- każdy
- aplikacje
- podejście
- zbliżający się
- SĄ
- artykuł
- AS
- Uwaga
- uniknąć
- zasłona
- BE
- bo
- stają się
- być
- za
- jest
- Ulepsz Swój
- obie
- przynieść
- biznes
- ale
- KUPUJĄCY..
- by
- CAN
- nie może
- walizka
- Etui
- wyzwanie
- wyzwanie
- zmieniony
- jasny
- kod
- handlowy
- kompleks
- spełnienie
- wykonania
- składniki
- Koncepcje
- Potwierdzać
- znaczny
- zawierać
- Korporacyjny
- stworzony
- krytyczny
- zwyczaj
- Bezpieczeństwo cybernetyczne
- Zależności
- projektowanie
- detal
- Ustalać
- oprogramowania
- różne
- odkrywanie
- odrębny
- do
- dokument
- dokumentacja
- robi
- domeny
- każdy
- Wcześnie
- wysiłek
- starania
- bądź
- zapewnić
- Cały
- szczególnie
- Parzyste
- dokładnie
- wykonawczy
- zarządzenie wykonawcze
- dodatkowy
- Twarz
- FAST
- Federalny
- kilka
- znajduje
- i terminów, a
- obserwuj
- następnie
- W razie zamówieenia projektu
- wytrzymałość
- Naprzód
- znaleziono
- Fundamenty
- Czwarty
- Framework
- przyszłość
- GAO
- towary
- Rząd
- agencje rządowe
- zaszkodzić
- Have
- pomoc
- Wysoki
- wysoki profil
- dom
- W jaki sposób
- HTTPS
- olbrzymi
- i
- zidentyfikowane
- if
- Rezultat
- wpływ
- ważny
- ulepszenia
- poprawy
- in
- obejmuje
- wzrosła
- wzrastający
- coraz bardziej
- indywidualny
- Informacja
- najnowszych
- wprowadzono
- ISN
- IT
- JEGO
- jpg
- czerwiec
- właśnie
- Trzymać
- Wiedzieć
- w dużej mierze
- największym
- Nazwisko
- Przywódcy
- Doprowadziło
- lubić
- Prawdopodobnie
- ll
- poszukuje
- zrobiony
- utrzymać
- WYKONUJE
- podręcznik
- wiele
- masywny
- Mecz
- Może..
- znaczy
- Poznaj nasz
- Memorandum
- nic
- Nowoczesne technologie
- miesięcy
- jeszcze
- większość
- musi
- naród
- niezbędny
- Potrzebować
- Nowości
- Następny
- nist
- of
- często
- on
- tylko
- koncepcja
- open source
- or
- zamówienie
- organizacja
- organizacji
- Inne
- ludzkiej,
- na zewnątrz
- opisane
- koniec
- ogólny
- własny
- pakiet
- Pakiety
- płatny
- bolesny
- Przeszłość
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- power
- Praktyczny
- praktyki
- prywatny
- Problem
- producent
- Produkt
- Produkty
- chronić
- Udowodnij
- publiczny
- nabywczy
- Kwartał
- RE
- dosięgnąć
- potwierdzone
- polegać
- wymagać
- wymagany
- wymagania
- Badania naukowe
- s
- bezpieczniej
- Skala
- Sektory
- bezpieczne
- bezpieczeństwo
- sprzedać
- Sprzedawanie
- Serie
- Usługi
- zestaw
- kilka
- ciężki
- Share
- Prosty
- po prostu
- So
- Tworzenie
- rozwoju oprogramowania
- rozwiązanie
- ROZWIĄZANIA
- kilka
- Źródło
- Kod źródłowy
- sponsorować
- standard
- standardy
- Startowy
- pobyt
- Ewolucja krok po kroku
- dostawcy
- pewnie
- Brać
- zespół
- niż
- że
- Połączenia
- świat
- ich
- Im
- sami
- Te
- one
- rzeczy
- to
- w tym roku
- tych
- tysiące
- czas
- do
- już dziś
- razem
- prawdziwy
- drugiej
- niezdolny
- zrozumieć
- Niestety
- us
- rząd Stanów Zjednoczonych
- posługiwać się
- za pomocą
- UPRAWOMOCNIĆ
- Ve
- wolontariuszy
- Luki w zabezpieczeniach
- Droga..
- sposoby
- we
- DOBRZE
- Co
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- KIM
- będzie
- w
- Praca
- świat
- napisać
- rok
- lat
- jeszcze
- You
- Twój
- siebie
- zefirnet
