Selbstbescheinigung für M-22–18
22.06.2023
Interlynk
Vor zwei Jahren hob Executive Order 14028 ("Verbesserung der Cybersicherheit der Nation") die Bedeutung der Aktualisierung der Cyberhygiene der Nation hervor.
Im September 2022 machte das Büro für Management und Haushalt (OMB) die Umsetzung konkret, indem es das Memo M-22–18 ("Verbesserung der Sicherheit der Software-Lieferkette durch sichere Softwareentwicklungspraktiken") herausgab.
M-22–18 skizziert einen Teil des Umsetzungsplans von EO14028 für Bundesbehörden.
Das Memo konzentriert sich wiederum auf zwei Artefakte, um die Sicherheit und Reife der Entwicklungspraktiken eines Softwareherstellers festzustellen.
Ein Selbstattestierungsformular, das die Entwicklungspraktiken des Herstellers erklärt
Software-Bestandsverzeichnis (SBOM) pro Produktversion, das die Zusammensetzung der Software erklärt
Während die Spezifikation und die Anforderungen für SBOM mit den Minimalen Elementen für ein Software-Bestandsverzeichnis der NTIA gut etabliert sind, befinden sich die Anforderungen für die Selbstattestierung noch in der Entwicklungsphase (und es wird interessant sein zu sehen, wie die Fristen — Juli für kritische Software und September für alle anderen Software — verwaltet werden können).
Am 27. April gab CISA die Einzelheiten des Selbstattestierungsformulars zur öffentlichen Kommentierung bekannt. Das Formular stützt sich stark auf die Praktiken und Aufgaben, die im NIST SP 800–218 ("Sichere Softwareentwicklungsrahmen") spezifiziert sind und auf Version 1.1 für die Executive Order überarbeitet wurden.
Obwohl sich die Anforderungen nach dem Ende der Frist für öffentliche Kommentare (26. Juni 2023) weiterhin ändern können, hat Interlynk die Anforderungen für die Selbstattestierung in einem leicht verständlichen Format skizziert, um den Organisationen einen Vorsprung zu verschaffen.
Wer ist betroffen?
M-22–18 ist ein Memo an die Bundesbehörden; daher gelten die Anforderungen nur für Software, die an sie verkauft oder von ihnen verwendet wird.
Alle folgenden Arten von Softwareänderungen erfordern von den Herstellern die Einreichung des Selbstattestierungsformulars bei den relevanten Behörden:
Software, die nach dem 14. September 2022 entwickelt wurde
Software, die nach dem 14. September 2022 eine Umfangreiche Überarbeitung durchläuft
Kontinuierlich ausgelieferte Software (z. B. Software-as-a-Service)
Zwei herausgenommene Ausnahmen sind:
Von den Bundesbehörden selbst entwickelte Software
Frei verfügbare Software (z. B. Open-Source-Software)
Attestierungsformat
Das Bestätigungsformular kann online ausgefüllt werden (Link wird je nach Agentur festgelegt) oder über einen lokalen PDF-Download und E-Mail (E-Mail wird je nach Agentur festgelegt).
Eine Bestätigung kann für eine einzelne Produktversion, mehrere Versionen des Produkts, eine gesamte Produktlinie oder das gesamte Unternehmen gelten.
Bescheinigung Anforderungen
Das Selbstzertifizierungsdokument verweist auf mehrere Abschnitte des Sicheren Softwareentwicklungsrahmens (SSDF) und der Executive Order 14028. Insbesondere erfordert die Selbstzertifizierung die Erklärung der folgenden Punkte:
Sicherheit der Softwareentwicklungsumgebung
Vertrauen in die Lieferkette des Softwarequellcodes
Automatisierte Werkzeuge und Prozesse für das Vertrauen in die Software-Lieferkette
Verwaltung von Herkunftsdaten für interne und Drittanbieter-Software
Richtlinien, Programme und automatisierte Prozesse für das Management der Schwachstellen in der Software
Interlynk hat die Anforderungen mit den im SSDF verwiesenen hypothetischen Beispielen hier abgeglichen. Dies kann als Referenzleitfaden zur Implementierung der erforderlichen Kontrollen dienen.
Öffentliche Kommentare zur Selbsterklärung
Das Dokument ist bis zum 26. Juni für öffentliche Kommentare geöffnet, und dies ist eine ausgezeichnete Gelegenheit, um Bedenken oder Klarstellungen mit der CISA zu teilen, bevor es Teil der Anforderungen wird. Um einen Kommentar öffentlich (oder anonym) abzugeben, gehen Sie zu: https://www.regulations.gov/document/CISA-2023-0001-0001 und klicken Sie auf "Kommentar." (Direkter Link: https://www.regulations.gov/commenton/CISA-2023-0001-0001)
Bereit machen
Die Mission von Interlynk umfasst einfache, offensichtliche und automatisierte Software-Offenlegungen, Sicherheitskontrollen und Anforderungen, die in der EO14028 und M-22–18 aufgeführt sind, und stellt schrittweise Maßnahmen für ein transparenteres und widerstandsfähigeres Software-Ökosystem dar. Wir sind hier, um jeder Organisation zu helfen, die Unterstützung hinsichtlich Klarheit, Anleitung oder Umsetzung dieser Kontrollen benötigt.
Kontaktieren Sie uns unter hello@interlynk.io für ein Gespräch.