Erklärungsformular zur sicheren Softwareentwicklung
| Interlynk
[Dieser Beitrag wurde zuvor als Selbstattestierung für M-22–18 veröffentlicht und ist nun für die endgültige Form überarbeitet]
Vor drei Jahren wurde in der Executive Order 14028 („Improving the Nation’s Cybersecurity“) die Bedeutung einer Aktualisierung der Cyber-Hygiene des Landes hervorgehoben.
Im September 2022 machte das Office of Management and Budget (OMB) dies mit der Veröffentlichung des Memos M-22–18 („Enhancing the Security of the Software Supply Chain through Secure Software Development Practices“) umsetzbar.
M-22–18 skizziert einen Teil des Umsetzungsplans der EO14028 für Bundesbehörden. M-23–16 fügte diesen Anforderungen weitere Klarstellungen hinzu.
Diese Memos konzentrieren sich wiederum auf zwei Artefakte, um die Sicherheit und den Reifegrad der Entwicklungspraktiken eines Softwareherstellers nachzuweisen.
Ein Selbstattestierungsformular, das die Entwicklungspraktiken des Herstellers darlegt
Eine Software-Stückliste (SBOM) pro Produktversion, die die Zusammensetzung der Software deklariert
Während die Spezifikationen und Anforderungen für SBOMs mit den Minimum Elements for a Software Bill of Materials der NTIA bereits gut etabliert waren, wurden die Anforderungen für die Selbstattestierung am 8. März 2024 finalisiert und veröffentlicht.
Das Formular stützt sich stark auf die im NIST SP 800–218 („Secure Software Development Framework“) festgelegten Praktiken und Aufgaben, das für die Executive Order auf die Version 1.1 überarbeitet wurde.
Interlynk hat die Anforderungen zur Selbstattestierung in einem leicht verständlichen Format aufbereitet, um Organisationen den Einstieg zu erleichtern.
Wer ist betroffen?
M-22–18/M-23–16 sind zwei Richtlinien für Bundesbehörden; daher gelten die Anforderungen nur für Software, die an diese verkauft oder von ihnen genutzt wird.
Alle der folgenden Arten von Softwareänderungen erfordern, dass Entwickler das Selbsterklärungsformular bei den entsprechenden Behörden einreichen:
Software, die nach dem 14. September 2022 entwickelt wurde
Software, die nach dem 14. September 2022 eine wesentliche Überarbeitung erfährt
Kontinuierlich bereitgestellte Software (z. B. Software-as-a-Service)
Vier ausdrückliche Ausnahmen sind:
Von den Bundesbehörden selbst entwickelte Software
Open-Source-Software, die von einer Bundesbehörde direkt und kostenlos bezogen wird
Open-Source- und proprietäre Komponenten von Drittanbietern, die in das von der Behörde verwendete Software-Endprodukt integriert sind
Kostenlos erhältliche und öffentlich zugängliche Software
Attestierungsformat
Eine Bestu00e4tigung kann fu00fcr eine einzelne Produktversion, mehrere Versionen des Produkts, eine gesamte Produktlinie oder das gesamte Unternehmen gelten.u200d
Das Bestu00e4tigungsformular kann online unter diesem Link ausgefu00fcllt werden: https://softwaresecurity.cisa.gov oder u00fcber einen lokalen PDF-Download und per E-Mail (die E-Mail-Adresse wird je nach Behu00f6rde festgelegt).
Zertifizierungsanforderungen
Das Selbsterklärungsdokument verweist auf mehrere Abschnitte des Secure Software Development Framework (SSDF) und der Executive Order 14028. Konkret erfordert die Selbsterklärung die Angabe der folgenden Punkte:
Sicherheit der Softwareentwicklungsumgebung
Vertrauen in die Software-Quellcode-Lieferkette
Automatisierte Tools und Prozesse zur Absicherung der Software-Lieferkette
Verwaltung von Provenienzdaten für internen und Drittanbieter-Code
Richtlinien, Programme und automatisierte Prozesse für das Management von Schwachstellen in der Software
Interlynks Zuordnung von SSDF-Referenzen zur SSDF-Selbsterklärung
Interlynk hat die Anforderungen mit den im SSDF referenzierten theoretischen Beispielen hier abgeglichen.
Dies kann als Leitfaden für die Implementierung der erforderlichen Kontrollen dienen.
In Vorbereitung
Die Mission von Interlynk umfasst einfache, naheliegende und automatisierte Software-Offenlegungen, Sicherheitskontrollen und die in den Richtlinien EO14028 und M-22–18/M-23–16 dargelegten Anforderungen – inkrementelle Schritte hin zu einem transparenteren und widerstandsfähigeren Software-Ökosystem. Wir sind hier, um jedem Unternehmen zu helfen, das Unterstützung bei der Klarheit, Orientierung oder Implementierung dieser Kontrollmechanismen benötigt.
Kontaktieren Sie uns unter hello@interlynk.io für ein Gespräch.