Beveiligde Software Ontwikkeling Attestatieformulier
27 mrt 2024
Interlynk
[Dit bericht is eerder gepubliceerd als Zelfattestatie voor M-22–18 en is nu herzien voor de definitieve vorm]
Drie jaar geleden benadrukte Executive Order 14028 ("Het Verbeteren van de Cybersecurity van de Natie") het belang van het updaten van de cyberhygiëne van de Natie.
In september 2022 maakte het Office of Management and Budget (OMB) het actiegericht door memo M-22–18 ("De Veiligheid van de Software Leveringsketen Verbeteren door Veilige Software Ontwikkelingspraktijken").
M-22–18 schetst een deel van het implementatieplan van EO14028 voor Federale agentschappen. M-23–16 voegde verdere verduidelijkingen toe aan die eisen.
Die memo's richten zich op twee artefacten om de beveiliging en volwassenheid van de ontwikkelingspraktijken van een softwareproducent vast te stellen.
Een zelfattestatieformulier waarin de ontwikkelingspraktijken van de producent worden verklaard
Software Bill of Materials (SBOM) per productversie waarin de samenstelling van de software wordt verklaard
Hoewel de specificaties en vereisten voor SBOM goed zijn vastgesteld met de Minimale Elementen voor een Software Bill of Materials van NTIA, zijn de vereisten voor de zelfattestatie finaliseerd en uitgegeven op 8 maart 2024.
Het formulier leunt zwaar op Praktijken en Taken die zijn gespecificeerd in de NIST SP 800–218 ("Veilig Software Ontwikkelingsraamwerk") herzien naar versie 1.1 voor de Executive Order.
Interlynk heeft de vereisten voor zelfattestatie in een gemakkelijk te volgen formaat in kaart gebracht om organisaties een voorsprong te geven.
Wie wordt beïnvloed?
M-22–18/M-23–16 zijn twee memo's aan de federale agentschappen; daarom zijn de vereisten alleen van toepassing op software die aan hen wordt verkocht of door hen wordt gebruikt.
Alle onderstaande soorten wijzigingssoftware vereisen dat producenten het zelfattestatieformulier indienen bij de relevante agentschappen:
Software ontwikkeld na 14 september 2022
Software die een grote herziening ondergaat na 14 september 2022
Voortdurend geleverde software (bijv. software-as-a-service)
Vier uitgesloten uitzonderingen zijn:
Software die zelf door de federale agentschappen is ontwikkeld
Open-source software die gratis en rechtstreeks wordt verkregen door een federale agentie.
Derde-partij open source en propriëtaire componenten die zijn opgenomen in het software-eindproduct dat door de agentie wordt gebruikt.
Software die gratis wordt verkregen en openbaar beschikbaar is.
Attestatieformaat
Een attestatie kan van toepassing zijn op een enkele productversie, meerdere versies van het product, een gehele productlijn of het hele bedrijf.
Het attestatieformulier kan online worden ingevuld via deze link: https://softwaresecurity.cisa.gov of via een lokale PDF-download en e-mail (de e-mail wordt per instantie bepaald).
Attestatie-eisen
Het document voor zelfverklaring verwijst naar meerdere secties van het Secure Software Development Framework (SSDF) en Executive Order 14028. In het bijzonder vereist de zelfverklaring de verklaring van het volgende:
Beveiliging van de software-ontwikkelomgeving
Vertrouwen in de toeleveringsketen van de softwarebroncode
Geautomatiseerde tools en processen voor het vertrouwen op de toeleveringsketen van software
Beheer van herkomstgegevens voor interne en externe code
Beleid, programma en geautomatiseerde processen voor het beheer van kwetsbaarheden in de software
De kaart van SSDF-referenties naar de SSDF Zelfverklaring van Interlynk
Interlynk heeft de vereisten in kaart gebracht met de SSDF-referentievoorbeelden hier.
Dit kan dienen als de referentiegids voor het implementeren van de vereiste controles.
Klaar maken
De missie van Interlynk omvat gemakkelijke, voor de hand liggende en geautomatiseerde software openbaarmakingen, beveiligingscontroles en vereisten zoals beschreven in de EO14028 en M-22–18/M-23–16, geleidelijke stappen naar een transparanter en veerkrachtiger software-ecosysteem. We zijn hier om elke organisatie te helpen die ondersteuning nodig heeft bij helderheid, begeleiding of implementatie van deze controles.
Neem contact met ons op via hello@interlynk.io voor een gesprek.