ขายซอฟต์แวร์ให้กับรัฐบาลสหรัฐฯ? รู้จักการรับรองความปลอดภัยก่อน

ในช่วงหลายเดือนที่ผ่านมา รัฐบาลสหรัฐฯ ได้เปิดตัวข้อกำหนดใหม่หลายประการที่ส่งผลกระทบต่อองค์กรที่ขายซอฟต์แวร์ให้กับหน่วยงานของรัฐ เนื่องจากข้อกำหนดใหม่เหล่านี้มีความซับซ้อน ผู้นำจำนวนมากยังไม่แน่ใจว่าองค์กรของตนจะได้รับผลกระทบอย่างไร ในบทความนี้ ฉันจะแบ่งปันแนวคิดที่สำคัญที่สุดบางส่วนที่คุณจะต้องเข้าใจ เพื่อให้คุณสามารถปกป้องธุรกิจของรัฐบาลและปฏิบัติตามกฎระเบียบได้

ข้อกำหนดด้านความปลอดภัยของซอฟต์แวร์ใหม่: มีการเปลี่ยนแปลงอะไรบ้าง?

ในช่วงหลายปีที่ผ่านมา เหตุการณ์ด้านความปลอดภัยที่มีชื่อเสียงอย่างเช่นเหตุการณ์ที่ได้รับผลกระทบ SolarWinds และแพ็คเกจโอเพ่นซอร์ส log4j ได้เพิ่มความสนใจของรัฐบาลในเรื่องความปลอดภัยของซอฟต์แวร์ เริ่มด้วย คำสั่งผู้บริหารทำเนียบขาวที่ 14028 ในการปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศในเดือนพฤษภาคม 2021 การดำเนินการหลายครั้งในช่วงสองปีที่ผ่านมาได้นำไปสู่ชุดข้อกำหนดที่ชัดเจนซึ่งส่งผลกระทบต่อซัพพลายเออร์ซอฟต์แวร์ของรัฐบาล

นับจากนี้ไป องค์กรใดๆ ที่ขายซอฟต์แวร์ให้กับรัฐบาลสหรัฐฯ จะต้องยืนยันตนเองว่าสอดคล้องกับหลักปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัยซึ่งกำหนดโดยรัฐบาลใน กรอบงานการพัฒนาซอฟต์แวร์ที่ปลอดภัยของ NIST.

สิ่งสำคัญที่สุดประการหนึ่งที่ควรทำความเข้าใจก็คือ องค์กรต้องไม่เพียงแต่เป็นพยานว่าพวกเขาปฏิบัติตามหลักปฏิบัติเหล่านี้ด้วยตนเองสำหรับโค้ดซอฟต์แวร์ที่พวกเขาเขียน แต่ยังรวมถึงส่วนประกอบโอเพ่นซอร์สที่พวกเขาดึงเข้าสู่แอปพลิเคชันของตนก็ปฏิบัติตามแนวทางปฏิบัติเหล่านี้เช่นกัน

ในช่วงต้นเดือนมิถุนายน รัฐบาลได้ยืนยันข้อกำหนดเหล่านี้อีกครั้งใน บันทึกข้อตกลง OMB M-23-16 (PDF) และกำหนดเส้นตายสำหรับการปฏิบัติตามกฎระเบียบที่กำลังใกล้เข้ามาอย่างรวดเร็ว โดยมีแนวโน้มว่าจะมาถึงในไตรมาสที่สี่ของปีนี้ (สำหรับซอฟต์แวร์ที่สำคัญ) และไตรมาสแรกของปีหน้า (สำหรับซอฟต์แวร์อื่นๆ ทั้งหมด)

ซึ่งหมายความว่าในอีกไม่กี่เดือนข้างหน้า องค์กรต่างๆ จะต้องดิ้นรนเพื่อทำความเข้าใจข้อกำหนดการรับรองใหม่เหล่านี้ และพิจารณาว่าองค์กรของตนจะปฏิบัติตามอย่างไร ทั้งในเรื่องโค้ดที่พวกเขาเขียนเองและส่วนประกอบโอเพ่นซอร์สที่พวกเขานำเข้ามาสู่ผลิตภัณฑ์ซอฟต์แวร์ของตน

ตาม M-23-16 บทลงโทษสำหรับการไม่ปฏิบัติตามข้อกำหนดนั้นรุนแรง:

“หน่วยงาน [ของรัฐบาลกลาง] ต้อง ยุติการใช้ซอฟต์แวร์ หากหน่วยงานพบว่าเอกสารของผู้ผลิตซอฟต์แวร์ไม่เป็นที่พอใจ หรือหากหน่วยงานไม่สามารถยืนยันได้ว่าผู้ผลิตได้ระบุแนวทางปฏิบัติที่ไม่สามารถยืนยันได้…”

กรณีที่ท้าทายเป็นพิเศษของโอเพ่นซอร์ส

เนื่องจากองค์กรจำนวนมากกำลังเจาะลึกมากขึ้นในข้อกำหนดการรับรอง พวกเขาพบว่าการปฏิบัติตามข้อกำหนด โดยเฉพาะอย่างยิ่งเมื่อมีกำหนดเวลาที่จำกัด อาจพิสูจน์ได้ว่าเป็นเรื่องที่ท้าทาย NIST SSDF เป็นเฟรมเวิร์กที่ซับซ้อนสำหรับการรักษาความปลอดภัย และองค์กรจะต้องใช้เวลาไม่เพียงแต่ตรวจสอบให้แน่ใจว่าพวกเขาปฏิบัติตามแนวทางปฏิบัติเหล่านี้ แต่ยังบันทึกแนวทางปฏิบัติของตนโดยละเอียดอีกด้วย

แต่ที่น่ากังวลยิ่งกว่านั้นก็คือ รัฐบาลกำลังขอให้ซัพพลายเออร์ยืนยันแนวทางปฏิบัติด้านความปลอดภัยของผลิตภัณฑ์ซอฟต์แวร์ทั้งหมดของตน ซึ่งรวมถึงส่วนประกอบโอเพ่นซอร์สในซอฟต์แวร์นั้นด้วย ปัจจุบัน ซอฟต์แวร์สมัยใหม่มักประกอบด้วยส่วนประกอบโอเพ่นซอร์สเป็นส่วนใหญ่ที่นำมาต่อเข้าด้วยกัน พร้อมด้วยซอฟต์แวร์แบบกำหนดเองบางตัว ในการวิจัยของเราเราพบว่า แอปพลิเคชันมากกว่า 90% มีส่วนประกอบโอเพ่นซอร์สและในหลายกรณี โอเพ่นซอร์สคิดเป็นมากกว่า 70% ของฐานโค้ด.

องค์กรของคุณสามารถยืนยันแนวทางปฏิบัติด้านความปลอดภัยของตนเองได้ แต่คุณจะยืนยันแนวทางปฏิบัติด้านความปลอดภัยที่ตามมาโดยผู้ดูแลโอเพ่นซอร์สที่เขียนและดูแลรักษาโค้ดโอเพ่นซอร์สที่คุณใช้ในแอปพลิเคชันของคุณได้อย่างไร

นับเป็นความท้าทายครั้งใหญ่ และองค์กรต่างๆ กำลังมองหาผู้ดูแลโอเพ่นซอร์สเพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับหลักปฏิบัติด้านความปลอดภัยของตน น่าเสียดายที่ผู้ดูแลโอเพ่นซอร์สเหล่านี้จำนวนมากเป็นอาสาสมัครที่ไม่ได้รับค่าจ้าง ซึ่งทำงานเกี่ยวกับโอเพ่นซอร์สเป็นงานอดิเรกในตอนกลางคืนและวันหยุดสุดสัปดาห์ ดังนั้น การขอให้พวกเขาทำงานเพิ่มเติมเพื่อตรวจสอบว่าแนวปฏิบัติด้านความปลอดภัยของตนตรงกับมาตรฐานระดับสูงที่กำหนดโดย NIST SSDF นั้นไม่สามารถทำได้จริง

วิธีหนึ่งที่องค์กรสามารถหลีกเลี่ยงความท้าทายนี้ได้คือการไม่ใช้โอเพ่นซอร์สในแอปพลิเคชันของตน และในขณะที่ดูเหมือนเป็นวิธีแก้ปัญหาง่ายๆ ที่เห็นภายนอก แต่มันก็เป็นทางเลือกที่ไม่สามารถเป็นไปได้มากขึ้นเรื่อยๆ เนื่องจากโอเพ่นซอร์สในหลาย ๆ ด้านได้กลายเป็นแพลตฟอร์มการพัฒนาที่ทันสมัยโดยพฤตินัย

วิธีที่ดีกว่าในการแก้ปัญหานี้คือเพื่อให้แน่ใจว่าผู้ดูแลแพ็คเกจที่คุณไว้วางใจนั้นได้รับค่าจ้างให้ทำงานด้านความปลอดภัยที่สำคัญนี้

สิ่งนี้อาจต้องการให้คุณทำการวิจัยเพิ่มเติมเพื่อให้แน่ใจว่าส่วนประกอบโอเพ่นซอร์สที่คุณใช้นั้นมีผู้ดูแลอยู่เบื้องหลังผู้ที่ได้รับค่าตอบแทน ไม่ว่าจะโดยผู้อุปถัมภ์ขององค์กร โดยมูลนิธิ หรือโดยความพยายามเชิงพาณิชย์ เพื่อตรวจสอบแพ็คเกจของพวกเขาว่าตรงตามมาตรฐานความปลอดภัยที่สำคัญเหล่านี้ หรือคุณสามารถติดต่อผู้ดูแลด้วยตนเองและเป็นผู้สนับสนุนงานของพวกเขาได้ เมื่อออกแบบแนวทางของคุณ โปรดทราบว่าแอปพลิเคชันสมัยใหม่ที่ไม่ซับซ้อนส่วนใหญ่มีการพึ่งพาโอเพ่นซอร์สที่แตกต่างกันหลายพันรายการ ซึ่งแต่ละรายการสร้างและดูแลโดยบุคคลหรือทีมที่แตกต่างกัน ดังนั้นความพยายามด้วยตนเองในการปรับขนาดแนวทางนี้จึงมีความสำคัญ

ก้าวไปข้างหน้าที่ท้าทายแต่จำเป็น

ข้อกำหนดเหล่านี้อาจเป็นเรื่องยากที่จะปฏิบัติตาม แต่ท่ามกลางช่องโหว่ด้านความปลอดภัยที่เพิ่มขึ้นซึ่งก่อให้เกิดอันตรายอย่างใหญ่หลวงต่อภาครัฐและเอกชน สิ่งเหล่านี้ถือเป็นก้าวสำคัญในการก้าวไปข้างหน้า รัฐบาลสหรัฐฯ เป็นผู้ซื้อสินค้าและบริการรายใหญ่ที่สุดในโลก และนั่นก็เป็นจริงสำหรับฝ่ายไอทีพอๆ กับสำหรับโดเมนอื่นๆ ด้วยการใช้กำลังซื้อเพื่อบังคับให้มีการปรับปรุงมาตรฐานความปลอดภัยโดยรวมสำหรับซอฟต์แวร์ รัฐบาลกำลังช่วยรับประกันอนาคตที่ปลอดภัยและมั่นคงยิ่งขึ้น

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first