向美国政府出售软件？ 首先了解安全认证

在过去的几个月里，美国政府推出了几项新的要求，影响向政府机构销售软件的组织。 由于这些新要求很复杂，许多领导者尚不确定他们的组织将受到怎样的影响。 在本文中，我将分享您需要了解的一些最重要的概念，以便您可以保护您的政府业务并保持合规性。

新的软件安全要求：发生了什么变化？

在过去的几年里，发生了一些备受瞩目的安全事件，例如影响 SolarWinds的 和开源包 日志4j 政府加大了对软件安全的关注。 从...开始 白宫行政命令 14028 关于在 2021 年 XNUMX 月改善国家网络安全，过去两年的一系列行动产生了一系列影响任何政府软件供应商的明确要求。

展望未来，任何向美国政府销售软件的组织都需要自我证明其符合政府在《安全软件开发实践》中概述的安全软件开发实践。 NIST 安全软件开发框架.

要理解的最重要的事情之一是，组织不仅不能简单地证明他们自己编写的软件代码遵循这些实践，而且他们引入应用程序的开源组件也遵循这些实践。

XNUMX月初，政府重申了这些要求 OMB 备忘录 M-23-16 (PDF)，并设定了即将到来的合规截止日期——可能会在今年第四季度（对于关键软件）和明年第一季度（对于所有其他软件）。

这意味着在接下来的几个月里，组织将争先恐后地了解这些新的认证要求，并确定他们的组织将如何遵守这些要求，无论是他们自己编写的代码还是他们带入软件产品的开源组件。

根据 M-23-16，违规行为的处罚非常严厉：

“[联邦]机构必须 停止使用该软件 如果该机构发现软件生产商的文件不令人满意，或者该机构无法确认该生产商已识别出其无法证明的做法……”

特别具有挑战性的开源案例

随着许多组织更深入地研究证明要求，他们发现合规性，尤其是在紧迫的期限内，可能具有挑战性。 NIST SSDF 是一个复杂的安全框架，组织不仅需要时间来确保他们遵守这些实践，还要详细记录他们的实践。

但更令人畏惧的是，政府要求供应商证明其整个软件产品的安全实践，其中包括该软件中的开源组件。 如今，现代软件通常主要由拼凑在一起的开源组件以及一些定制软件组成。 在我们的研究中我们发现 超过 90% 的应用程序包含开源组件，而且在很多情况下 开源占代码库的 70% 以上.

您的组织可以证明自己的安全实践，但是您如何准确地证明编写和维护您在应用程序中使用的开源代码的开源维护者所遵循的安全实践呢？

这是一个巨大的挑战，组织正在向开源维护人员寻求有关其安全实践的更多信息。 不幸的是，这些开源维护者中的许多人都是无薪志愿者，他们在晚上和周末将开源工作作为一种爱好。 因此，要求他们做额外的工作来验证他们的安全实践是否符合 NIST SSDF 设定的高标准是不切实际的。

组织避免这一挑战的一种方法是不在其应用程序中使用开源。 虽然这听起来像是一个简单的解决方案，但它也是一个越来越不可行的替代方案，因为开源在很多方面已经成为事实上的现代开发平台。

解决此问题的更好方法是确保您所依赖的软件包的维护人员有报酬来完成这项重要的安全工作。

这可能需要您进行额外的研究，以确保您使用的开源组件背后有维护者，他们的报酬是由企业捐助者、基金会或商业活动支付的，以验证其软件包符合这些重要的安全标准。 或者您甚至可以自己联系维护人员并成为他们工作的企业赞助商。 在设计方法时，请记住，大多数重要的现代应用程序都有数千个不同的开源依赖项，每个依赖项都是由不同的个人或团队创建和维护的，因此扩展此方法的手动工作量相当大。

具有挑战性但必要的一步

遵守这些要求可能很痛苦，但在安全漏洞不断增加对公共和私营部门造成巨大损害的背景下，它们是向前迈出的必要一步。 美国政府是世界上最大的商品和服务买家，对于 IT 领域和其他领域来说都是如此。 通过利用其购买力强制改进软件的整体安全标准，政府正在帮助确保一个更安全、更有保障的未来。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/application-security/selling-software-government-know-security-attestation-first