În ultimele câteva luni, guvernul SUA a introdus câteva cerințe noi care afectează organizațiile care vând software agențiilor guvernamentale. Deoarece aceste noi cerințe sunt complexe, mulți lideri nu sunt încă siguri cum va fi afectată organizația lor. În acest articol, vă voi împărtăși câteva dintre cele mai importante concepte pe care va trebui să le înțelegeți, astfel încât să vă puteți proteja afacerea guvernamentală și să rămâneți în conformitate.
Noi cerințe de securitate software: ce s-a schimbat?
În ultimii câțiva ani, incidente de securitate de mare profil, cum ar fi cele care au afectat SolarWinds și pachetul open source log4j au sporit atenția guvernamentală asupra securității software-ului. Incepand cu Ordinul Executiv al Casei Albe 14028 privind îmbunătățirea securității cibernetice a națiunii în mai 2021, o serie de acțiuni în ultimii doi ani au condus la un set de cerințe clare care afectează orice furnizor de software guvernamental.
În viitor, orice organizație care vinde software guvernului SUA va fi obligată să ateste că se conformează cu practicile de dezvoltare software securizate prezentate de guvern în Cadrul de dezvoltare software securizat NIST.
Unul dintre cele mai importante lucruri de înțeles este că organizațiile nu trebuie să ateste pur și simplu că respectă aceste practici ele însele pentru codul software pe care îl scriu, ci și că componentele open source pe care le introduc în aplicațiile lor urmează și aceste practici.
La începutul lunii iunie, guvernul a reafirmat aceste cerințe în Memorandumul OMB M-23-16 (PDF) și stabiliți termene limită pentru conformitate care se apropie cu repeziciune — probabil să ajungă în al patrulea trimestru al acestui an (pentru software-ul critic) și în primul trimestru al anului viitor (pentru toate celelalte software).
Aceasta înseamnă că în următoarele câteva luni, organizațiile se vor lupta să înțeleagă aceste noi cerințe de atestare și să determine modul în care organizația lor se va conforma, atât pentru codul pe care îl scriu ei înșiși, cât și pentru componentele open source pe care le aduc în produsele lor software.
Conform M-23-16, sancțiunea pentru nerespectare este severă:
„Agenția [federală] trebuie întrerupeți utilizarea software-ului dacă agenția consideră că documentația producătorului de software este nesatisfăcătoare sau dacă agenția nu poate confirma că producătorul a identificat practicile pe care nu le poate atesta…”
Caz deosebit de provocator al open source
Pe măsură ce multe organizații se scufundă mai adânc în cerințele de atestare, ele descoperă că conformitatea, în special în cazul termenelor limită strânse, se poate dovedi o provocare. NIST SSDF este un cadru complex pentru securitate și organizațiilor va dura timp nu numai să se asigure că respectă aceste practici, ci și să își documenteze practicile în detaliu.
Dar și mai descurajantă este că guvernul le cere furnizorilor să ateste practicile de securitate ale întregului lor produs software, care include componentele open source din acel software. Astăzi, software-ul modern este adesea alcătuit în mare parte din componente open source care au fost combinate împreună cu unele software personalizate. În cercetarea noastră am constatat că peste 90% dintre aplicații conțin componente open source, și în multe cazuri open source reprezintă mai mult de 70% din baza de cod.
Organizația dvs. poate să ateste propriile practici de securitate, dar cum puteți atesta practicile de securitate urmate de întreținerii open source care scriu și mențin codul open source pe care îl utilizați în aplicațiile dvs.?
Este o provocare uriașă, iar organizațiile caută întreținerii open source pentru mai multe informații despre practicile lor de securitate. Din păcate, mulți dintre acești menținători open source sunt voluntari neplătiți, care lucrează pe open source ca hobby în timpul nopții și în weekend. Deci, a le cere să facă munca suplimentară pentru a valida că practicile lor de securitate se potrivesc cu standardele înalte stabilite de NIST SSDF nu este practic.
O modalitate prin care organizațiile pot evita această provocare este să nu folosească sursa deschisă în aplicațiile lor. Și, deși pare o soluție simplă, este și o alternativă din ce în ce mai neviabilă, deoarece sursa deschisă a devenit, de facto, platforma modernă de dezvoltare.
O modalitate mai bună de a rezolva această problemă este să vă asigurați că întreținerii pachetelor pe care vă bazați sunt plătiți pentru a face această muncă importantă de securitate.
Acest lucru poate necesita să faceți cercetări suplimentare pentru a vă asigura că componentele open source pe care le utilizați au în spate menținători care sunt plătiți – fie de către binefăcători corporativi, fie de către fundații, fie prin eforturi comerciale – pentru a valida pachetele lor îndeplinesc aceste standarde importante de securitate. Sau puteți chiar să vă adresați personalului de întreținere și să deveniți un sponsor corporativ al muncii lor. Când vă proiectați abordarea, rețineți că cele mai multe aplicații moderne netriviale au mii de dependențe distincte de sursă deschisă, fiecare creată și întreținută de un individ sau o echipă diferită, astfel încât efortul manual de a scala această abordare este considerabil.
Un pas înainte provocator, dar necesar
Aceste cerințe pot fi dureros de respectat, dar pe fundalul creșterii vulnerabilităților de securitate care dăunează masiv sectorului public și privat, ele reprezintă un pas înainte necesar. Guvernul SUA este cel mai mare cumpărător de bunuri și servicii din lume, iar acest lucru este la fel de adevărat pentru IT ca și pentru alte domenii. Folosindu-și puterea de cumpărare pentru a forța îmbunătățiri ale standardului general de securitate pentru software, guvernul ajută la asigurarea unui viitor mai sigur și mai sigur.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
- Sursa: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first
- :are
- :este
- :nu
- $UP
- 2021
- 7
- a
- Despre Noi
- acțiuni
- care afectează
- împotriva
- Agențiile
- agenție
- TOATE
- de-a lungul
- de asemenea
- alternativă
- an
- și
- Orice
- aplicatii
- abordare
- se apropie
- SUNT
- articol
- AS
- atenţie
- evita
- fundal
- BE
- deoarece
- deveni
- fost
- în spatele
- fiind
- Mai bine
- atât
- aduce
- afaceri
- dar
- CUMPĂRĂTOR..
- by
- CAN
- nu poti
- caz
- cazuri
- contesta
- provocare
- si-a schimbat hainele;
- clar
- cod
- comercial
- complex
- conformitate
- se conforma
- componente
- Concepte
- Confirma
- considerabil
- conţine
- Istoria
- a creat
- critic
- personalizat
- Securitate cibernetică
- dependențe
- proiect
- detaliu
- Determina
- Dezvoltare
- diferit
- descoperirea
- distinct
- do
- document
- documentaţie
- face
- domenii
- fiecare
- Devreme
- efort
- Eforturile
- oricare
- asigura
- Întreg
- mai ales
- Chiar
- exact
- executiv
- ordin executiv
- suplimentar
- Față
- FAST
- federal
- puțini
- descoperiri
- First
- urma
- a urmat
- Pentru
- Forţarea
- Înainte
- găsit
- Fundații
- Al patrulea
- Cadru
- viitor
- GAO
- bunuri
- Guvern
- agentii guvernamentale
- rău
- Avea
- ajutor
- Înalt
- Profil înalt
- casă
- Cum
- HTTPS
- mare
- i
- identificat
- if
- Impactul
- afectate
- important
- îmbunătățiri
- îmbunătățirea
- in
- include
- a crescut
- crescând
- tot mai mult
- individ
- informații
- în
- introdus
- ISN
- IT
- ESTE
- jpg
- iunie
- doar
- A pastra
- Cunoaște
- în mare măsură
- cea mai mare
- Nume
- Liderii
- Led
- ca
- Probabil
- ll
- cautati
- făcut
- menține
- FACE
- manual
- multe
- masiv
- Meci
- Mai..
- mijloace
- Întâlni
- Memorandum
- minte
- Modern
- luni
- mai mult
- cele mai multe
- trebuie sa
- naţiune
- necesar
- Nevoie
- Nou
- următor
- nist
- of
- de multe ori
- on
- afară
- deschide
- open-source
- or
- comandă
- organizație
- organizații
- Altele
- al nostru
- afară
- a subliniat
- peste
- global
- propriu
- pachet
- ofertele
- plătit
- dureros
- trecut
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- putere
- Practic
- practicile
- privat
- Problemă
- producător
- Produs
- Produse
- proteja
- Dovedi
- public
- de cumpărare
- Trimestru
- RE
- ajunge
- reafirmat
- se bazează
- necesita
- necesar
- Cerinţe
- cercetare
- s
- mai sigur
- Scară
- sectoare
- sigur
- securitate
- vinde
- De vânzare
- serie
- Servicii
- set
- câteva
- sever
- Distribuie
- simplu
- pur şi simplu
- So
- Software
- de dezvoltare de software
- soluţie
- REZOLVAREA
- unele
- Sursă
- cod sursă
- patrona
- standard
- standarde
- Pornire
- şedere
- Pas
- furnizori
- sigur
- Lua
- echipă
- decât
- acea
- lumea
- lor
- Lor
- se
- Acestea
- ei
- lucruri
- acest
- în acest an
- aceste
- mii
- timp
- la
- astăzi
- împreună
- adevărat
- Două
- incapabil
- înţelege
- din pacate
- us
- guvernul SUA
- utilizare
- folosind
- VALIDA
- Ve
- voluntari
- Vulnerabilitățile
- Cale..
- modalități de
- we
- BINE
- Ce
- cand
- care
- în timp ce
- OMS
- voi
- cu
- Apartamente
- lume
- scrie
- an
- ani
- încă
- Tu
- Ta
- te
- zephyrnet
