هشدار سیاست و تنظیم مقررات ایالات متحده
پیمانکاران ،تی که نرمافزاری را در سراسر زنجیره تامین ،ت فدرال ارائه میکنند، در اوا، سال جاری م،م به رعایت چارچوب جدید طراحی نرمافزار امن (SSDF) خواهند بود. SSDF از فروشندگان نرم افزار می خواهد که کنترل های امنیتی جدید در طراحی کدهای مورد استفاده توسط ،ت فدرال را تأیید کنند.
امنیت سایبری نرم افزارهای ،تی در حال افزایش است
پس از به خطر افتادن امنیت سایبری سیستمهای نرمافزار سازم، قابل توجهی که در زنجیرههای تامین ،تی تعبیه شدهاند، ،ت فدرال به طور فزایندهای کاهش آسیبپذیری نرمافزارهای مورد استفاده در شبکههای آژانس را در اولویت قرار داده است. با توجه به اینکه ا،ر نرم افزارهای سازم، که توسط ،ت فدرال استفاده می شود توسط طیف گسترده ای از پیمانکاران بخش خصوصی ارائه می شود، کاخ سفید در تلاش است تا مجموعه ای از مقررات امنیتی نرم افزاری جدید را هم بر پیمانکاران اصلی و هم برای پیمانکاران فرعی اعمال کند. یکی از حوزههای اولویتدار، تلاش برای ا،ام پیمانکاران ،تی برای اطمینان از اینکه نرمافزار مورد استفاده آژانسهای فدرال، امنیت را با طراحی ،یب میکند، است. در نتیجه، پیمانکاران فدرال که نرمافزاری را به ،ت عرضه میکنند، اکنون با مجموعهای از ا،امات برای تهیه کد نرمافزار ایمن مواجه هستند. ی،ی ارائه نرم افزاری که با در نظر گرفتن امنیت توسعه یافته باشد تا قبل از ،ید و استقرار نرم افزار توسط ،ت، نقص ها و آسیب پذیری ها کاهش یابد.
SSDF به ،وان یک پاسخ ،ت
در پاسخ، کاخ سفید فرمان اجرایی 14028، “فرمان اجرایی بهبود امنیت سایبری کشور” (EO 14028) را در 12 می 2021 صادر کرد. EO 14028 مؤسسه ملی استانداردها و فناوری (NIST) را م،م به توسعه استانداردها، ابزارها و بهترین شیوه ها برای افزایش امنیت زنجیره تامین نرم افزار. NIST متعاقباً SSDF را در نشریه ویژه NIST SP 800-218 منتشر کرد. EO 14028 همچنین دستور می دهد که مدیر دفتر مدیریت و بودجه (OMB) اقدامات من،ی را انجام دهد تا اطمینان حاصل شود که آژانس های فدرال از دستورالعمل ها و استانداردهای NIST در مورد SSDF پیروی می کنند. این منجر به یادداشت OMB M-22-18، “افزایش امنیت زنجیره تامین نرم افزار از طریق شیوه های توسعه نرم افزار امن” (M-22-18) شد. یادداشت OMB بیان می کند که یک آژانس فدرال تنها در صورتی می تواند از نرم افزارهای مشمول ا،امات M-22-18 استفاده کند که سازنده آن نرم افزار ابتدا مطابقت با شیوه های توسعه نرم افزار ایمن مشخص شده توسط ،ت فدرال برگرفته از SSDF را تأیید کرده باشد.. به این م،ی که اگر تولید کننده نرم افزار نتواند ا،امات NIST را تایید کند، نمی تواند نرم افزار را به ،ت فدرال عرضه کند. برخی استثناها و فرآیندها برای نرم افزار وجود دارد که به تدریج در مراحل مختلف برای بهبود وارد انطباق می شود که همه آنها بسیار فنی و ذهنی هستند.
مطابق با این مقررات، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و، امنیت داخلی پیش نویس فرمی را برای جمع آوری گواهی های مربوطه و اطلاعات مرتبط صادر کرد. CISA پیش نویس فرم را در 27 آوریل 2023 منتشر کرد و تا 26 ژوئن 2023 نظرات را می پذیرد.1
مهلت اجرای SSDF و ا،امات برای تامین کنندگان ،تی
CISA ابتدا مهلتی را تا 11 ژوئن 2023 برای نرم افزارهای حیاتی و 13 سپتامبر 2023 برای نرم افزارهای غیر حیاتی برای مطابقت با SSDF تعیین کرد. گزارشهای مطبوعاتی نشان میدهند که این مهلتها هم به دلیل پیچیدگی ا،امات SSDF و هم به دلیل باز بودن دوره اظهارنظر تا 26 ژوئن 2023 تمدید خواهند شد. با این حال، CISA هنوز تمدید مهلت را تأیید نکرده است.
گواهی و مطابقت با SSDF
بر اساس آنچه اکنون می د،م، فرم گواهی به طور کلی از تولیدکنندگان نرم افزار می خواهد که تأیید کنند:
- این نرم افزار در محیط های امن توسعه یافته و ساخته شده است.
- تولید کننده نرم افزار با حسن نیت تلاش کرده است تا زنجیره های تامین کد منبع قابل اعتماد را حفظ کند.
- تولید کننده نرم افزار داده های منشأ کد داخلی و شخص ثالث را که در نرم افزار گنجانده شده است، حفظ می کند.
- تولید کننده نرم افزار از ابزارهای خودکار یا فرآیندهای مشابهی استفاده می کند که آسیب پذیری های امنیتی را بررسی می کند.
تولیدکنندگان نرمافزاری که باید از SSDF پیروی کنند، باید به سرعت حرکت کنند و رویکرد خود را برای امنیت نرمافزار بررسی کنند. ا،امات SSDF پیچیده هستند و بررسی، پیاده سازی و مستندسازی احتمالاً به زمان نیاز دارد. به طور خاص، بسیاری از ا،امات نیازمند تحلیل ذهنی به جای ارزیابی عینی در برابر مجموعه ای از معیارهای قابل سنجش هستند، همانطور که معمولاً در مورد چنین مقرراتی وجود دارد. SSDF همچنین شامل ابهامات متعددی است. برای مثال، SSDF نیاز به تغییرات نسخهسازی در نرمافزار دارد تا تأثیرات خاصی در ارزیابی امنیتی داشته باشد، اگرچه اصطلاح «نسخهسازی» تعریف استانداردی در بخش نرمافزار ندارد.
مراحل بعدی و خطر عدم انطباق
به طور اساسی، گواهی نامه های فرم جدید تحت قانون ادعاهای دروغین مدنی برای پیمانکاران ،تی و پیمانکاران فرعی خطر دارد. با توجه به این واقعیت که بسیاری از گواهینامه ها نیاز به تحلیل ذهنی دارند، پیمانکاران باید در تکمیل فرم گواهینامه دقت ویژه ای داشته باشند. پیمانکاران باید ارزیابی خود را به دقت مستند کنند که نرم افزاری که تولید می کنند مطابقت دارد. به ویژه، پیمانکاران و سایر طرف های ذینفع باید از این فرصت برای به اشتراک گذاشتن بازخورد و بینش با CISA از طریق فرآیند اظهار نظر عمومی استفاده کنند.
وکلای K&L Gates در عملکرد امنیت ملی ما به دقت اجرای این ا،امات جدید را دنبال می کنند و می توانند به درک نحوه تأثیر آنها بر سازمان های خاص کمک کنند.
1 88 فدرال رزرو Reg. 25670.
منبع: https://www.natlawreview.com/article/secure-software-regulations-and-self-attestation-required-federal-contractors