Zelfattestatie voor M-22–18

Twee jaar geleden benadrukte Executive Order 14028 ("Verbeteren van de Cybersecurity van de Natie") het belang van het bijwerken van de cyberhygiëne van de Natie.

In september 2022 maakte het Bureau voor Beheer en Begroting (OMB) het uitvoerbaar door memo M-22–18 ("Verbeteren van de Beveiliging van de Softwareleveringsketen door Veilige Softwareontwikkelingspraktijken").
M-22–18 schetst een deel van het implementatieplan van EO14028 voor federale agentschappen.

De memo richt zich op twee artefacten om de beveiliging en volwassenheid van de ontwikkelingspraktijken van een softwareproducent vast te stellen.

• Een zelfverklaringsformulier waarin de ontwikkelingspraktijken van de producent worden verklaard

• Software Bill of Materials (SBOM) per productversie waarin de samenstelling van de software wordt verklaard

Hoewel de specificaties en vereisten voor SBOM goed zijn vastgesteld met NTIA's Minimale Elementen voor een Software Bill of Materials, zijn de vereisten voor de zelfverklaring een werk in uitvoering (en het zal interessant zijn om te zien hoe de deadlines — juli voor kritische software en september voor alle andere software — kunnen worden beheerd).

Op 27 april heeft CISA de details van het zelfverklaringsformulier voor openbare reacties uitgerold. Het formulier steunt zwaar op Praktijken en Taken die zijn gespecificeerd in de NIST SP 800–218 ("Veilig Softwareontwikkelingskader") herzien naar versie 1.1 voor de Executive Order.

Hoewel de vereisten nog kunnen veranderen na het einde van de openbare commentaarperiode (26 juni 2023), heeft Interlynk de vereisten voor zelfverklaring in een gemakkelijk te volgen formaat in kaart gebracht om organisaties een voorsprong te geven.