Vor zwei Jahren betonte die Executive Order 14028 („Improving the Nation's Cybersecurity“) die Bedeutung einer Aktualisierung der Cyber-Hygiene des Landes.
Im September 2022 machte das Office of Management and Budget (OMB) dies mit der Veröffentlichung des Memos M-22–18 („Enhancing the Security of the Software Supply Chain through Secure Software Development Practices“) konkret handlungsrelevant.
M-22–18 umreißt einen Teil des EO14028-Implementierungsplans für Bundesbehörden.
Das Memo wiederum konzentriert sich auf zwei Artefakte, mit denen die Sicherheit und Reife der Entwicklungspraktiken eines Softwareherstellers nachgewiesen werden sollen.
Ein Selbstattestierungsformular, in dem die Entwicklungspraktiken des Herstellers dargelegt werden
Eine Software-Stückliste (Software Bill of Materials – SBOM) pro Produktversion, die die Zusammensetzung der Software deklariert
Während die Spezifikationen und Anforderungen für eine SBOM mit den Minimum Elements for a Software Bill of Materials der NTIA bereits gut etabliert sind, waren die Anforderungen für die Selbstattestierung noch in Arbeit (und es wird interessant sein zu sehen, wie die Fristen – Juli für kritische Software und September für alle andere Software – eingehalten werden können).
Am 27. April hat die CISA die Details des Selbstattestierungsformulars zur öffentlichen Kommentierung freigegeben. Das Formular stützt sich stark auf die im NIST SP 800–218 („Secure Software Development Framework“) festgelegten Praktiken und Aufgaben, die für die Executive Order auf die Version 1.1 überarbeitet wurden.
Obwohl sich die Anforderungen nach dem Ende der öffentlichen Kommentierungsfrist (26. Juni 2023) noch ändern können, hat Interlynk die Anforderungen für die Selbstattestierung in einem leicht verständlichen Format zusammengestellt, um Organisationen einen Vorsprung zu verschaffen.
Wer ist betroffen?
M-22–18 ist ein Memorandum an die US-Bundesbehörden; daher gelten die Anforderungen nur für Software, die an diese verkauft oder von ihnen genutzt wird.
Alle folgenden Arten von Softwareänderungen erfordern, dass die Hersteller das Selbstattestierungsformular bei den entsprechenden Behörden einreichen:
Software, die nach dem 14. September 2022 entwickelt wurde
Software, die nach dem 14. September 2022 eine wesentliche Überarbeitung erfährt
Kontinuierlich bereitgestellte Software (z. B. Software-as-a-Service)
Zwei davon ausgenommene Ausnahmen sind:
Von den Bundesbehörden selbst entwickelte Software
Frei verfügbare Software (z. B. Open-Source-Software)
Attestierungsformat
Das Bestu00e4tigungsformular kann online ausgefu00fcllt werden (Link wird je nach Behu00f6rde noch festgelegt) oder u00fcber einen lokalen PDF-Download und per E-Mail (E-Mail-Adresse wird je nach Behu00f6rde noch festgelegt).
Eine Bestu00e4tigung kann fu00fcr eine einzelne Produktversion, mehrere Versionen des Produkts, eine gesamte Produktlinie oder das gesamte Unternehmen gelten.
Zertifizierungsanforderungen
Das Selbsterklärungsdokument verweist auf mehrere Abschnitte des Secure Software Development Framework (SSDF) und der Executive Order 14028. Insbesondere erfordert die Selbsterklärung die Deklaration der folgenden Punkte:
Sicherheit der Softwareentwicklungsumgebung
Vertrauen in die Software-Quellcode-Lieferkette
Automatisierte Tools und Prozesse zur Absicherung der Software-Lieferkette
Verwaltung von Provenienzdaten für internen und Drittanbieter-Code
Richtlinien, Programme und automatisierte Prozesse für das Schwachstellenmanagement in der Software
Interlynk hat die Anforderungen mit den im SSDF referenzierten theoretischen Beispielen hier abgeglichen. Dies kann als Referenzhandbuch für die Implementierung der erforderlichen Kontrollen dienen.
Öffentliche Kommentare für die Selbsterklärung
Das Dokument kann bis zum 26. Juni öffentlich kommentiert werden. Dies ist eine hervorragende Gelegenheit, der CISA etwaige Bedenken mitzuteilen oder um Klarstellung zu bitten, bevor das Dokument Teil der Anforderungen wird. Um einen Kommentar öffentlich (oder anonym) abzugeben, gehen Sie auf: https://www.regulations.gov/document/CISA-2023-0001-0001 und klicken Sie auf „Comment“. (Direkter Link: https://www.regulations.gov/commenton/CISA-2023-0001-0001)
In Vorbereitung
Die Mission von Interlynk umfasst einfache, naheliegende und automatisierte Software-Offenlegungen. Sicherheitskontrollen und -anforderungen, wie sie in EO14028 und M-22–18 skizziert sind, stellen schrittweise Maßnahmen auf dem Weg zu einem transparenteren und widerstandsfähigeren Software-Ökosystem dar. Wir sind für jedes Unternehmen da, das Unterstützung bei der Verdeutlichung, Beratung oder Umsetzung dieser Kontrollen benötigt.
Kontaktieren Sie uns unter hello@interlynk.io für ein Gespräch.