Beveiligde Software Ontwikkeling Attestatieformulier

[Dit bericht is eerder gepubliceerd als Zelfattestatie voor M-22–18 en is nu herzien voor de definitieve vorm]

‍Drie jaar geleden benadrukte Executive Order 14028 ("Het Verbeteren van de Cybersecurity van de Natie") het belang van het updaten van de cyberhygiëne van de Natie.

‍In september 2022 maakte het Office of Management and Budget (OMB) het actiegericht door memo M-22–18 ("De Veiligheid van de Software Leveringsketen Verbeteren door Veilige Software Ontwikkelingspraktijken").
M-22–18 schetst een deel van het implementatieplan van EO14028 voor Federale agentschappen. M-23–16 voegde verdere verduidelijkingen toe aan die eisen.

‍Die memo's richten zich op twee artefacten om de beveiliging en volwassenheid van de ontwikkelingspraktijken van een softwareproducent vast te stellen.

• Een zelfattestatieformulier waarin de ontwikkelingspraktijken van de producent worden verklaard

• Software Bill of Materials (SBOM) per productversie waarin de samenstelling van de software wordt verklaard

‍Hoewel de specificaties en vereisten voor SBOM goed zijn vastgesteld met de Minimale Elementen voor een Software Bill of Materials van NTIA, zijn de vereisten voor de zelfattestatie finaliseerd en uitgegeven op 8 maart 2024.

‍Het formulier leunt zwaar op Praktijken en Taken die zijn gespecificeerd in de NIST SP 800–218 ("Veilig Software Ontwikkelingsraamwerk") herzien naar versie 1.1 voor de Executive Order.

‍Interlynk heeft de vereisten voor zelfattestatie in een gemakkelijk te volgen formaat in kaart gebracht om organisaties een voorsprong te geven.