Администрация Байдена продлила срок подачи федеральными агентствами документации, подтверждающей, что используемое ими программное обеспечение было разработано с соблюдением надлежащих мер безопасности, поскольку форма для сообщения по таким вопросам не заполнена.
С момента вступления в должность в 2021 году администрация сосредоточила внимание на кибербезопасности как для государственного, так и для частного секторов, уделяя особое внимание укреплению цепочки поставок программного обеспечения после таких инцидентов, как атака SolarWinds.
Одна из тактик Администрации заключалась в том, чтобы требовать от поставщиков программного обеспечения подтверждать использование ими федеральных стандартов разработки программного обеспечения, определенных Национальным институтом стандартов и технологий (NIST) Secure Software Development Framework. [PDF].
Крайний срок для получения аттестационных сертификатов от поставщиков государственными органами был 14 сентября. Но эта собака пока не собирается охотиться.
Тем не менее, пятистраничный меморандум [PDF] выпущенный в этом месяце Административно-бюджетным управлением (OMB), отодвинул крайний срок на будущее. Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) разрабатывает общую форму аттестации, которую должны будут использовать все поставщики. Как только OMB одобрит его, у агентств будет три месяца для сбора сертификатов от критически важных поставщиков и шесть месяцев для остальных поставщиков их программного обеспечения.
«Этот меморандум… подтверждает важность безопасных методов разработки программного обеспечения», — написала директор OMB Шаланда Янг.
Пастушьи кошки
Продление крайнего срока подчеркивает несколько движущихся частей, связанных с процессом аттестации. Национальный институт стандартов и технологий (NIST) в прошлом году обновил Основу безопасной разработки программного обеспечения (SSDF) и выпустил руководство по безопасности цепочки поставок программного обеспечения.
В апреле компания CISA опубликовала черновой вариант формы самоаттестации безопасного программного обеспечения и разослала запрос на комментарии с крайним сроком подачи отзывов 26 июня. С приближением этой даты OMB отодвинула крайний срок сбора собственных форм поставщиков. Использовать единую общую форму для всех поставщиков и ждать, пока эта общая форма будет утверждена, прежде чем собирать их, — это разумный бизнес-ход.
Поставщики, подписывающие аттестационные формы, признают, что их продукты соответствуют стандартам разработки NIST SSDF, выпущенному в феврале 2022 года. Цель состоит в том, чтобы защитить государственные учреждения от растущей угрозы атак на цепочку поставок, например, когда был добавлен вредоносный код. к программному обеспечению SolarWinds или продолжающееся использование уязвимости в инструменте ведения журнала с открытым исходным кодом Log4j.
Формы аттестации имеют решающее значение, «потому что производитель этого конечного продукта имеет наилучшие возможности для обеспечения его безопасности», — пишет Янг. «Свидетельство, предоставленное этим производителем агентству, служит подтверждением того, что производитель следует минимальным требованиям к безопасной разработке программного обеспечения, сформулированным в общей форме».
Передышка и для разработчиков программного обеспечения
По словам Дэна Лоренца, генерального директора и соучредителя стартапа Chainguard, специализирующегося на цепочках поставок программного обеспечения для обеспечения безопасности, продление срока подачи форм означает облегчение как для государственных органов, так и для производителей программного обеспечения, которые, возможно, все еще не успевают выполнить требования.
«Цепочка поставок программного обеспечения теперь официально является проблемой совета директоров и руководителей высшего звена», — сказал Лоренц. Регистр. «Но первоначальная боль будет ощущаться разработчиками программного обеспечения и командами инженеров и платформ, которые изо всех сил пытаются понять, где находится какое программное обеспечение, как оно защищено и как оно используется в их организациях».
По его словам, руководители компаний, которые продают программное обеспечение федеральному правительству, должны убедиться, что их разработчики создают безопасное программное обеспечение, соблюдая баланс между производительностью и инновациями.
Атаки на цепочку поставок, по-видимому, растут из-за нескольких факторов, в том числе более широкого использования программного обеспечения с открытым исходным кодом и повторно используемых компонентов, вклада из нескольких источников и ускоренного темпа выпуска кода.
Правительство и частный сектор частично противодействуют атакам на цепочки поставок, вынуждая поставщиков программного обеспечения посредством аттестации и 1 (ведомостей материалов на программное обеспечение) лучше защищать свои продукты.
Требуется проверка для открытого исходного кода
Лоренц сказал, что правила также должны касаться программного обеспечения с открытым исходным кодом, поскольку некоторые широко используемые проекты по-прежнему поддерживаются добровольцами или частично занятыми, у которых есть дневная работа, что означает, что они не всегда могут своевременно обнаруживать или устранять проблемы безопасности.
«Организации, использующие программное обеспечение с открытым исходным кодом, должны также взять на себя ответственность за безопасность того, что находится в их цепочках поставок», — сказал он.
Правительству также необходимо тесно сотрудничать с производителями программного обеспечения для разработки данных SBOM более высокого уровня. SBOM похожи на этикетки на пищевых продуктах, список компонентов, из которых состоит программный продукт, чтобы пользователи знали, что внутри. Чем лучше данные, тем более безопасным может быть программное обеспечение.
Кроме того, «SBOM будут иметь более широкое коммерческое значение, и сегодня промышленность имеет доступ к большему количеству данных». ®
