Sichere Software-Entwicklungsbestätigung

[Dieser Beitrag wurde zuvor veröffentlicht als Selbstbescheinigung für M-22–18 und wurde nun für die endgültige Form überarbeitet]

‍Vor drei Jahren hob Executive Order 14028 ("Verbesserung der Cybersicherheit der Nation") die Bedeutung der Aktualisierung der Cybersicherheit der Nation hervor.

‍Im September 2022 machte das Büro für Management und Haushalt (OMB) es umsetzbar, indem es das Memo M-22–18 ("Verbesserung der Sicherheit der Software-Lieferkette durch sichere Softwareentwicklungspraktiken") herausgab.
M-22–18 umreißt einen Teil des Implementierungsplans von EO14028 für Bundesbehörden. M-23–16 fügte weitere Klarstellungen zu diesen Anforderungen hinzu.

‍Diese Memos konzentrieren sich ihrerseits auf zwei Artefakte, um die Sicherheit und Reife der Entwicklungspraktiken eines Softwareherstellers zu etablieren.

• Ein Selbstbescheinigungsformular, das die Entwicklungspraktiken des Herstellers erklärt

• Softwarezulassungsliste (SBOM) pro Produktversion, die die Zusammensetzung der Software erklärt

‍Während die Spezifikation und die Anforderungen für SBOM mit den NTIA-Minimalen Elementen für eine Software Bill of Materials gut etabliert sind, wurden die Anforderungen für die Selbstbescheinigung finalisiert und am 8. März 2024 veröffentlicht.

‍Das Formular orientiert sich stark an den Praktiken und Aufgaben, die im NIST SP 800–218 ("Sichere Softwareentwicklungsrahmen") überarbeitet wurden auf Version 1.1 für die Exekutive Anordnung.

‍Interlynk hat die Anforderungen für die Selbstbescheinigung in einem leicht nachvollziehbaren Format kartiert, um Organisationen einen Vorsprung zu verschaffen.