Formulaire d'attestation de développement logiciel sécurisé

[Ce post a été précédemment publié sous Auto-affirmation pour M-22–18 et est maintenant révisé pour la forme finale]

‍Il y a trois ans, le décret exécutif 14028 (« Améliorer la cybersécurité de la nation ») a souligné l'importance de mettre à jour l'hygiène cybernétique de la nation.

‍En septembre 2022, le Bureau de la gestion et du budget (OMB) a rendu cela opérationnel en diffusant le mémo M-22–18 (« Améliorer la sécurité de la chaîne d'approvisionnement logicielle par des pratiques de développement logiciel sécurisé »).
M-22–18 décrit une partie du plan de mise en œuvre de l'EO14028 pour les agences fédérales. M-23–16 a ajouté d'autres clarifications à ces exigences.

‍Ces mémo, à leur tour, se concentrent sur deux artefacts pour établir la sécurité et la maturité des pratiques de développement d'un producteur de logiciels.

• Un formulaire d'auto-affirmation déclarant les pratiques de développement du producteur

• Facture de matériel logiciel (SBOM) par version de produit déclarant la composition du logiciel

‍Bien que les spécifications et les exigences pour le SBOM aient été bien établies avec les Éléments minimaux pour une facture de matériel logiciel du NTIA, les exigences pour l'auto-affirmation ont été finalisées et publiées le 8 mars 2024.

‍Le formulaire s'appuie fortement sur les pratiques et les tâches spécifiées dans le NIST SP 800–218 (« Cadre de développement logiciel sécurisé ») révisé pour la version 1.1 du décret exécutif.

‍Interlynk a cartographié les exigences d'auto-affirmation dans un format facile à suivre pour aider les organisations à prendre une longueur d'avance.