چارچوب طراحی نرم‌افزار ایمن پیمانکاران فدرال، خود تأییدیه لازم است


هشدار سیاست و تنظیم مقررات ایالات متحده

پیمانکاران ،تی که نرم‌افزاری را در سراسر زنجیره تامین ،ت فدرال ارائه می‌کنند، در اوا، سال جاری م،م به رعایت چارچوب جدید طراحی نرم‌افزار امن (SSDF) خواهند بود. SSDF از فروشندگان نرم افزار می خواهد که کنترل های امنیتی جدید در طراحی کدهای مورد استفاده توسط ،ت فدرال را تأیید کنند.

امنیت سایبری نرم افزارهای ،تی در حال افزایش است

پس از به خطر افتادن امنیت سایبری سیستم‌های نرم‌افزار سازم، قابل توجهی که در زنجیره‌های تامین ،تی تعبیه شده‌اند، ،ت فدرال به طور فزاینده‌ای کاهش آسیب‌پذیری نرم‌افزارهای مورد استفاده در شبکه‌های آژانس را در اولویت قرار داده است. با توجه به اینکه ا،ر نرم افزارهای سازم، که توسط ،ت فدرال استفاده می شود توسط طیف گسترده ای از پیمانکاران بخش خصوصی ارائه می شود، کاخ سفید در تلاش است تا مجموعه ای از مقررات امنیتی نرم افزاری جدید را هم بر پیمانکاران اصلی و هم برای پیمانکاران فرعی اعمال کند. یکی از حوزه‌های اولویت‌دار، تلاش برای ا،ام پیمانکاران ،تی برای اطمینان از اینکه نرم‌افزار مورد استفاده آژانس‌های فدرال، امنیت را با طراحی ،یب می‌کند، است. در نتیجه، پیمانکاران فدرال که نرم‌افزاری را به ،ت عرضه می‌کنند، اکنون با مجموعه‌ای از ا،امات برای تهیه کد نرم‌افزار ایمن مواجه هستند. ی،ی ارائه نرم افزاری که با در نظر گرفتن امنیت توسعه یافته باشد تا قبل از ،ید و استقرار نرم افزار توسط ،ت، نقص ها و آسیب پذیری ها کاهش یابد.

SSDF به ،وان یک پاسخ ،ت

در پاسخ، کاخ سفید فرمان اجرایی 14028، “فرمان اجرایی بهبود امنیت سایبری کشور” (EO 14028) را در 12 می 2021 صادر کرد. EO 14028 مؤسسه ملی استانداردها و فناوری (NIST) را م،م به توسعه استانداردها، ابزارها و بهترین شیوه ها برای افزایش امنیت زنجیره تامین نرم افزار. NIST متعاقباً SSDF را در نشریه ویژه NIST SP 800-218 منتشر کرد. EO 14028 همچنین دستور می دهد که مدیر دفتر مدیریت و بودجه (OMB) اقدامات من،ی را انجام دهد تا اطمینان حاصل شود که آژانس های فدرال از دستورالعمل ها و استانداردهای NIST در مورد SSDF پیروی می کنند. این منجر به یادداشت OMB M-22-18، “افزایش امنیت زنجیره تامین نرم افزار از طریق شیوه های توسعه نرم افزار امن” (M-22-18) شد. یادداشت OMB بیان می کند که یک آژانس فدرال تنها در صورتی می تواند از نرم افزارهای مشمول ا،امات M-22-18 استفاده کند که سازنده آن نرم افزار ابتدا مطابقت با شیوه های توسعه نرم افزار ایمن مشخص شده توسط ،ت فدرال برگرفته از SSDF را تأیید کرده باشد.. به این م،ی که اگر تولید کننده نرم افزار نتواند ا،امات NIST را تایید کند، نمی تواند نرم افزار را به ،ت فدرال عرضه کند. برخی استثناها و فرآیندها برای نرم افزار وجود دارد که به تدریج در مراحل مختلف برای بهبود وارد انطباق می شود که همه آنها بسیار فنی و ذهنی هستند.

مطابق با این مقررات، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و، امنیت داخلی پیش نویس فرمی را برای جمع آوری گواهی های مربوطه و اطلاعات مرتبط صادر کرد. CISA پیش نویس فرم را در 27 آوریل 2023 منتشر کرد و تا 26 ژوئن 2023 نظرات را می پذیرد.1

مهلت اجرای SSDF و ا،امات برای تامین کنندگان ،تی

CISA ابتدا مهلتی را تا 11 ژوئن 2023 برای نرم افزارهای حیاتی و 13 سپتامبر 2023 برای نرم افزارهای غیر حیاتی برای مطابقت با SSDF تعیین کرد. گزارش‌های مطبوعاتی نشان می‌دهند که این مهلت‌ها هم به دلیل پیچیدگی ا،امات SSDF و هم به دلیل باز بودن دوره اظهارنظر تا 26 ژوئن 2023 تمدید خواهند شد. با این حال، CISA هنوز تمدید مهلت را تأیید نکرده است.

گواهی و مطابقت با SSDF

بر اساس آنچه اکنون می د،م، فرم گواهی به طور کلی از تولیدکنندگان نرم افزار می خواهد که تأیید کنند:

  • این نرم افزار در محیط های امن توسعه یافته و ساخته شده است.
  • تولید کننده نرم افزار با حسن نیت تلاش کرده است تا زنجیره های تامین کد منبع قابل اعتماد را حفظ کند.
  • تولید کننده نرم افزار داده های منشأ کد داخلی و شخص ثالث را که در نرم افزار گنجانده شده است، حفظ می کند.
  • تولید کننده نرم افزار از ابزارهای خودکار یا فرآیندهای مشابهی استفاده می کند که آسیب پذیری های امنیتی را بررسی می کند.

تولیدکنندگان نرم‌افزاری که باید از SSDF پیروی کنند، باید به سرعت حرکت کنند و رویکرد خود را برای امنیت نرم‌افزار بررسی کنند. ا،امات SSDF پیچیده هستند و بررسی، پیاده سازی و مستندسازی احتمالاً به زمان نیاز دارد. به طور خاص، بسیاری از ا،امات نیازمند تحلیل ذهنی به جای ارزیابی عینی در برابر مجموعه ای از معیارهای قابل سنجش هستند، همانطور که معمولاً در مورد چنین مقرراتی وجود دارد. SSDF همچنین شامل ابهامات متعددی است. برای مثال، SSDF نیاز به تغییرات نسخه‌سازی در نرم‌افزار دارد تا تأثیرات خاصی در ارزیابی امنیتی داشته باشد، اگرچه اصطلاح «نسخه‌سازی» تعریف استانداردی در بخش نرم‌افزار ندارد.

مراحل بعدی و خطر عدم انطباق

به طور اساسی، گواهی نامه های فرم جدید تحت قانون ادعاهای دروغین مدنی برای پیمانکاران ،تی و پیمانکاران فرعی خطر دارد. با توجه به این واقعیت که بسیاری از گواهینامه ها نیاز به تحلیل ذهنی دارند، پیمانکاران باید در تکمیل فرم گواهینامه دقت ویژه ای داشته باشند. پیمانکاران باید ارزیابی خود را به دقت مستند کنند که نرم افزاری که تولید می کنند مطابقت دارد. به ویژه، پیمانکاران و سایر طرف های ذینفع باید از این فرصت برای به اشتراک گذاشتن بازخورد و بینش با CISA از طریق فرآیند اظهار نظر عمومی استفاده کنند.

وکلای K&L Gates در عملکرد امنیت ملی ما به دقت اجرای این ا،امات جدید را دنبال می کنند و می توانند به درک نحوه تأثیر آنها بر سازمان های خاص کمک کنند.


1 88 فدرال رزرو Reg. 25670.


منبع: https://www.natlawreview.com/article/secure-software-regulations-and-self-attestation-required-federal-contractors