Selbstbescheinigung für M-22–18

Vor zwei Jahren hob Executive Order 14028 ("Verbesserung der Cybersicherheit der Nation") die Bedeutung der Aktualisierung der Cyberhygiene der Nation hervor.

Im September 2022 machte das Büro für Management und Haushalt (OMB) die Umsetzung konkret, indem es das Memo M-22–18 ("Verbesserung der Sicherheit der Software-Lieferkette durch sichere Softwareentwicklungspraktiken") herausgab.
M-22–18 skizziert einen Teil des Umsetzungsplans von EO14028 für Bundesbehörden.

Das Memo konzentriert sich wiederum auf zwei Artefakte, um die Sicherheit und Reife der Entwicklungspraktiken eines Softwareherstellers festzustellen.

• Ein Selbstattestierungsformular, das die Entwicklungspraktiken des Herstellers erklärt

• Software-Bestandsverzeichnis (SBOM) pro Produktversion, das die Zusammensetzung der Software erklärt

Während die Spezifikation und die Anforderungen für SBOM mit den Minimalen Elementen für ein Software-Bestandsverzeichnis der NTIA gut etabliert sind, befinden sich die Anforderungen für die Selbstattestierung noch in der Entwicklungsphase (und es wird interessant sein zu sehen, wie die Fristen — Juli für kritische Software und September für alle anderen Software — verwaltet werden können).

Am 27. April gab CISA die Einzelheiten des Selbstattestierungsformulars zur öffentlichen Kommentierung bekannt. Das Formular stützt sich stark auf die Praktiken und Aufgaben, die im NIST SP 800–218 ("Sichere Softwareentwicklungsrahmen") spezifiziert sind und auf Version 1.1 für die Executive Order überarbeitet wurden.

Obwohl sich die Anforderungen nach dem Ende der Frist für öffentliche Kommentare (26. Juni 2023) weiterhin ändern können, hat Interlynk die Anforderungen für die Selbstattestierung in einem leicht verständlichen Format skizziert, um den Organisationen einen Vorsprung zu verschaffen.