Formulaire d'attestation de développement logiciel sécurisé
Interlynk
[Ce post a été précédemment publié sous Auto-affirmation pour M-22–18 et est maintenant révisé pour la forme finale]
Il y a trois ans, le décret exécutif 14028 (« Améliorer la cybersécurité de la nation ») a souligné l'importance de mettre à jour l'hygiène cybernétique de la nation.
En septembre 2022, le Bureau de la gestion et du budget (OMB) a rendu cela opérationnel en diffusant le mémo M-22–18 (« Améliorer la sécurité de la chaîne d'approvisionnement logicielle par des pratiques de développement logiciel sécurisé »).
M-22–18 décrit une partie du plan de mise en œuvre de l'EO14028 pour les agences fédérales. M-23–16 a ajouté d'autres clarifications à ces exigences.
Ces mémo, à leur tour, se concentrent sur deux artefacts pour établir la sécurité et la maturité des pratiques de développement d'un producteur de logiciels.
Un formulaire d'auto-affirmation déclarant les pratiques de développement du producteur
Facture de matériel logiciel (SBOM) par version de produit déclarant la composition du logiciel
Bien que les spécifications et les exigences pour le SBOM aient été bien établies avec les Éléments minimaux pour une facture de matériel logiciel du NTIA, les exigences pour l'auto-affirmation ont été finalisées et publiées le 8 mars 2024.
Le formulaire s'appuie fortement sur les pratiques et les tâches spécifiées dans le NIST SP 800–218 (« Cadre de développement logiciel sécurisé ») révisé pour la version 1.1 du décret exécutif.
Interlynk a cartographié les exigences d'auto-affirmation dans un format facile à suivre pour aider les organisations à prendre une longueur d'avance.
Qui est impacté ?
M-22–18/M-23–16 sont deux mémos destinés aux agences fédérales ; par conséquent, les exigences ne s'appliquent qu'aux logiciels vendus ou utilisés par elles.
Tous les types de changements de logiciels suivants exigent que les producteurs soumettent le formulaire d'auto-attestation aux agences concernées :
Logiciel développé après le 14 septembre 2022
Logiciel passant par une révision majeure après le 14 septembre 2022
Logiciels livrés en continu (par exemple, logiciels en tant que service)
Quatre exceptions spéciales sont :
Logiciel auto-développé par les agences fédérales
Logiciel open-source qui est obtenu librement et directement par une agence fédérale.
Composants open-source tiers et propriétaires qui sont incorporés dans le produit logiciel final utilisé par l'agence.
Logiciel qui est obtenu gratuitement et disponible publiquement.
Format d'attestation
Une attestation peut s'appliquer à une seule version de produit, à plusieurs versions du produit, à toute une gamme de produits ou à l'ensemble de l'entreprise.
Le formulaire d'attestation peut être rempli en ligne à ce lien : https://softwaresecurity.cisa.gov ou via un téléchargement PDF local et par email (l'email sera déterminé par agence).
Exigences d'attestation
Le document d'auto-attestation fait référence à plusieurs sections du Cadre de Développement Logiciel Sécurisé (SSDF) et de l'Ordre Exécutif 14028. Plus précisément, l'auto-attestation exige la déclaration des éléments suivants :
Sécurité de l'environnement de développement logiciel
Confiance dans la chaîne d'approvisionnement du code source logiciel
Outils et processus automatisés pour faire confiance à la chaîne d'approvisionnement logicielle
Gestion des données de provenance pour le code interne et tiers
Politique, programme et processus automatisés pour la gestion des vulnérabilités dans le logiciel
La carte d’Interlynk des références SSDF à l'Auto-Attestation SSDF
Interlynk a mappé les exigences avec les exemples notionnels référencés par le SSDF ici.
Cela peut servir de guide de référence pour mettre en œuvre les contrôles requis.
Se préparer
La mission d'Interlynk comprend des divulgations logicielles faciles, évidentes et automatisées, des contrôles de sécurité et des exigences décrites dans l'EO14028 et le M-22–18/M-23–16, des étapes progressives vers un écosystème logiciel plus transparent et résilient. Nous sommes ici pour aider toute organisation ayant besoin de soutien en matière de clarté, de conseils ou de mise en œuvre de ces contrôles.
Contactez-nous à hello@interlynk.io pour discuter.