Trong vài tháng qua, chính phủ Hoa Kỳ đã đưa ra một số yêu cầu mới ảnh hưởng đến các tổ chức bán phần mềm cho các cơ quan chính phủ. Vì những yêu cầu mới này rất phức tạp nên nhiều nhà lãnh đạo vẫn chưa chắc tổ chức của họ sẽ bị ảnh hưởng như thế nào. Trong bài viết này, tôi sẽ chia sẻ một số khái niệm quan trọng nhất mà bạn cần hiểu để có thể bảo vệ hoạt động kinh doanh chính phủ của mình và luôn tuân thủ.
Yêu cầu bảo mật phần mềm mới: Điều gì đã thay đổi?
Trong nhiều năm qua, các sự cố bảo mật cấp cao như những sự cố đã ảnh hưởng đến SolarWinds và gói nguồn mở log4j đã làm tăng sự chú ý của chính phủ về bảo mật phần mềm. Bắt đầu với Sắc lệnh hành pháp 14028 của Nhà Trắng về việc cải thiện an ninh mạng của quốc gia vào tháng 2021 năm XNUMX, một loạt hành động trong hai năm qua đã dẫn đến một loạt yêu cầu rõ ràng tác động đến bất kỳ nhà cung cấp phần mềm nào của chính phủ.
Trong tương lai, bất kỳ tổ chức nào bán phần mềm cho chính phủ Hoa Kỳ sẽ phải tự chứng thực rằng phần mềm đó tuân thủ các thông lệ phát triển phần mềm an toàn do chính phủ nêu trong Đạo luật này. Khung phát triển phần mềm bảo mật NIST.
Một trong những điều quan trọng nhất cần hiểu là các tổ chức không chỉ phải chứng thực rằng bản thân họ tuân theo các thực tiễn này đối với mã phần mềm mà họ viết mà còn các thành phần nguồn mở mà họ đưa vào ứng dụng của mình cũng tuân theo các thực tiễn này.
Vào đầu tháng 6, chính phủ đã tái khẳng định những yêu cầu này trong Bản ghi nhớ OMB M-23-16 (PDF) và đặt ra thời hạn tuân thủ đang đến rất nhanh — có thể đến vào quý 4 năm nay (đối với phần mềm quan trọng) và quý đầu tiên của năm tới (đối với tất cả các phần mềm khác).
Điều này có nghĩa là trong vài tháng tới, các tổ chức sẽ phải nỗ lực tìm hiểu các yêu cầu chứng thực mới này và xác định cách thức tổ chức của họ sẽ tuân thủ, đối với cả mã họ tự viết và các thành phần nguồn mở mà họ đưa vào các sản phẩm phần mềm của mình.
Theo M-23-16, hình phạt cho việc không tuân thủ là rất nặng:
“Cơ quan [liên bang] phải ngừng sử dụng phần mềm nếu cơ quan nhận thấy tài liệu của nhà sản xuất phần mềm không đạt yêu cầu hoặc nếu cơ quan không thể xác nhận rằng nhà sản xuất đã xác định được các hoạt động mà họ không thể chứng thực…”
Trường hợp đặc biệt thách thức của nguồn mở
Khi nhiều tổ chức đang tìm hiểu sâu hơn về các yêu cầu chứng thực, họ nhận thấy rằng việc tuân thủ, đặc biệt là với thời hạn chặt chẽ, có thể là một thách thức. NIST SSDF là một khuôn khổ phức tạp về bảo mật và sẽ mất thời gian để các tổ chức không chỉ đảm bảo tuân thủ các biện pháp này mà còn ghi lại chi tiết các biện pháp thực hành của họ.
Nhưng thậm chí còn đáng ngại hơn là chính phủ đang yêu cầu các nhà cung cấp chứng thực các biện pháp bảo mật cho toàn bộ sản phẩm phần mềm của họ, bao gồm các thành phần nguồn mở trong phần mềm đó. Ngày nay, phần mềm hiện đại thường được tạo thành chủ yếu từ các thành phần nguồn mở được ghép lại với nhau, cùng với một số phần mềm tùy chỉnh. Trong nghiên cứu của chúng tôi, chúng tôi đã tìm thấy rằng hơn 90% ứng dụng chứa các thành phần nguồn mở, và trong nhiều trường hợp nguồn mở chiếm hơn 70% cơ sở mã.
Tổ chức của bạn có thể chứng thực các biện pháp bảo mật của riêng mình, nhưng làm thế nào bạn có thể chứng thực chính xác các biện pháp bảo mật mà các nhà bảo trì nguồn mở tuân theo, những người viết và duy trì mã nguồn mở mà bạn sử dụng trong các ứng dụng của mình?
Đó là một thách thức lớn và các tổ chức đang tìm kiếm các nhà bảo trì nguồn mở để biết thêm thông tin về các biện pháp bảo mật của họ. Thật không may, nhiều người trong số những người bảo trì nguồn mở này là những tình nguyện viên không được trả lương, họ làm việc trên nguồn mở như một sở thích vào ban đêm và cuối tuần. Vì vậy, việc yêu cầu họ thực hiện thêm công việc để xác thực rằng các biện pháp bảo mật của họ phù hợp với các tiêu chuẩn cao do NIST SSDF đặt ra là không thực tế.
Một cách mà các tổ chức có thể tránh được thách thức này là không sử dụng nguồn mở trong các ứng dụng của họ. Và mặc dù bề ngoài điều đó nghe có vẻ giống như một giải pháp đơn giản, nhưng nó cũng là một giải pháp thay thế ngày càng không khả thi, vì nguồn mở theo nhiều cách đã trở thành nền tảng phát triển hiện đại trên thực tế.
Cách tốt hơn để giải quyết vấn đề này là đảm bảo những người duy trì các gói mà bạn tin cậy đang được trả tiền để thực hiện công việc bảo mật quan trọng này.
Điều này có thể yêu cầu bạn thực hiện nghiên cứu bổ sung để đảm bảo các thành phần nguồn mở mà bạn đang sử dụng có những người bảo trì đằng sau chúng và được trả tiền — bởi các nhà hảo tâm của công ty, bởi các quỹ hoặc bởi các nỗ lực thương mại — để xác thực các gói của họ đáp ứng các tiêu chuẩn bảo mật quan trọng này. Hoặc thậm chí bạn có thể tự mình liên hệ với những người bảo trì và trở thành nhà tài trợ doanh nghiệp cho công việc của họ. Khi thiết kế phương pháp tiếp cận của bạn, hãy nhớ rằng hầu hết các ứng dụng hiện đại không cần thiết đều có hàng nghìn phần phụ thuộc nguồn mở riêng biệt, mỗi phần phụ thuộc được tạo và duy trì bởi một cá nhân hoặc nhóm khác nhau, vì vậy nỗ lực thủ công để mở rộng quy mô phương pháp này là đáng kể.
Một bước tiến đầy thách thức nhưng cần thiết
Những yêu cầu này có thể khó tuân thủ, nhưng trong bối cảnh các lỗ hổng bảo mật ngày càng gia tăng gây tổn hại lớn cho khu vực công và tư nhân, chúng là một bước tiến cần thiết. Chính phủ Hoa Kỳ là người mua hàng hóa và dịch vụ lớn nhất trên thế giới và điều đó đúng với CNTT cũng như các lĩnh vực khác. Bằng cách sử dụng sức mua của mình để buộc phải cải thiện tiêu chuẩn bảo mật tổng thể cho phần mềm, chính phủ đang giúp đảm bảo một tương lai an toàn hơn, bảo mật hơn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first
- : có
- :là
- :không phải
- $ LÊN
- 2021
- 7
- a
- Giới thiệu
- hành động
- ảnh hưởng đến
- chống lại
- cơ quan
- cơ quan
- Tất cả
- dọc theo
- Ngoài ra
- thay thế
- an
- và
- bất kì
- các ứng dụng
- phương pháp tiếp cận
- tiếp cận
- LÀ
- bài viết
- AS
- sự chú ý
- tránh
- bối cảnh
- BE
- bởi vì
- trở nên
- được
- sau
- được
- Hơn
- cả hai
- mang lại
- kinh doanh
- nhưng
- NGƯỜI MUA ..
- by
- CAN
- không thể
- trường hợp
- trường hợp
- thách thức
- thách thức
- thay đổi
- trong sáng
- mã
- thương gia
- phức tạp
- tuân thủ
- tuân theo
- các thành phần
- khái niệm
- Xác nhận
- đáng kể
- chứa
- Doanh nghiệp
- tạo ra
- quan trọng
- khách hàng
- An ninh mạng
- phụ thuộc
- thiết kế
- chi tiết
- Xác định
- Phát triển
- khác nhau
- khám phá
- khác biệt
- do
- tài liệu
- tài liệu hướng dẫn
- làm
- lĩnh vực
- mỗi
- Đầu
- nỗ lực
- những nỗ lực
- hay
- đảm bảo
- Toàn bộ
- đặc biệt
- Ngay cả
- chính xác
- điều hành
- lệnh điều hành
- thêm
- Đối mặt
- NHANH
- Liên bang
- vài
- tìm thấy
- Tên
- theo
- sau
- Trong
- Buộc
- Forward
- tìm thấy
- Foundations
- Thứ tư
- Khung
- tương lai
- GAO
- hàng hóa
- Chính phủ
- cơ quan chính phủ
- làm hại
- Có
- giúp đỡ
- Cao
- tầm cỡ
- House
- Độ đáng tin của
- HTTPS
- lớn
- i
- xác định
- if
- Va chạm
- tác động
- quan trọng
- cải tiến
- cải thiện
- in
- bao gồm
- tăng
- tăng
- lên
- hệ thống riêng biệt,
- thông tin
- trong
- giới thiệu
- isn
- IT
- ITS
- jpg
- tháng sáu
- chỉ
- Giữ
- Biết
- phần lớn
- lớn nhất
- Họ
- các nhà lãnh đạo
- Led
- Lượt thích
- Có khả năng
- ll
- tìm kiếm
- thực hiện
- duy trì
- LÀM CHO
- nhãn hiệu
- nhiều
- lớn
- Trận đấu
- Có thể..
- có nghĩa
- Gặp gỡ
- Biên bản ghi nhớ
- tâm
- hiện đại
- tháng
- chi tiết
- hầu hết
- phải
- quốc gia
- cần thiết
- Cần
- Mới
- tiếp theo
- nắm tay
- of
- thường
- on
- có thể
- mở
- mã nguồn mở
- or
- gọi món
- cơ quan
- tổ chức
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- nêu
- kết thúc
- tổng thể
- riêng
- gói
- gói
- thanh toán
- đau đớn
- qua
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- quyền lực
- Thực tế
- thực hành
- riêng
- Vấn đề
- sản xuất
- Sản phẩm
- Sản phẩm
- bảo vệ
- Chứng minh
- công khai
- mua
- Quý
- RE
- đạt
- khẳng định lại
- dựa
- yêu cầu
- cần phải
- Yêu cầu
- nghiên cứu
- s
- an toàn hơn
- Quy mô
- Ngành
- an toàn
- an ninh
- bán
- Bán
- Loạt Sách
- DỊCH VỤ
- định
- một số
- nghiêm trọng
- Chia sẻ
- Đơn giản
- đơn giản
- So
- Phần mềm
- phát triển phần mềm
- giải pháp
- động SOLVE
- một số
- nguồn
- mã nguồn
- tài trợ
- Tiêu chuẩn
- tiêu chuẩn
- Bắt đầu
- ở lại
- Bước
- nhà cung cấp
- chắc chắn
- Hãy
- nhóm
- hơn
- việc này
- Sản phẩm
- thế giới
- cung cấp their dịch
- Them
- tự
- Kia là
- họ
- điều
- điều này
- năm nay
- những
- hàng ngàn
- thời gian
- đến
- bây giờ
- bên nhau
- đúng
- hai
- không thể
- hiểu
- không may
- us
- chính phủ Mỹ
- sử dụng
- sử dụng
- HIỆU LỰC
- Ve
- tình nguyện viên
- Lỗ hổng
- Đường..
- cách
- we
- TỐT
- Điều gì
- khi nào
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- sẽ
- với
- Công việc
- thế giới
- viết
- năm
- năm
- nhưng
- Bạn
- trên màn hình
- mình
- zephyrnet