Zelfattestatie voor M-22–18
Interlynk
Twee jaar geleden benadrukte Executive Order 14028 ("Verbeteren van de Cybersecurity van de Natie") het belang van het bijwerken van de cyberhygiëne van de Natie.
In september 2022 maakte het Bureau voor Beheer en Begroting (OMB) het uitvoerbaar door memo M-22–18 ("Verbeteren van de Beveiliging van de Softwareleveringsketen door Veilige Softwareontwikkelingspraktijken").
M-22–18 schetst een deel van het implementatieplan van EO14028 voor federale agentschappen.
De memo richt zich op twee artefacten om de beveiliging en volwassenheid van de ontwikkelingspraktijken van een softwareproducent vast te stellen.
Een zelfverklaringsformulier waarin de ontwikkelingspraktijken van de producent worden verklaard
Software Bill of Materials (SBOM) per productversie waarin de samenstelling van de software wordt verklaard
Hoewel de specificaties en vereisten voor SBOM goed zijn vastgesteld met NTIA's Minimale Elementen voor een Software Bill of Materials, zijn de vereisten voor de zelfverklaring een werk in uitvoering (en het zal interessant zijn om te zien hoe de deadlines — juli voor kritische software en september voor alle andere software — kunnen worden beheerd).
Op 27 april heeft CISA de details van het zelfverklaringsformulier voor openbare reacties uitgerold. Het formulier steunt zwaar op Praktijken en Taken die zijn gespecificeerd in de NIST SP 800–218 ("Veilig Softwareontwikkelingskader") herzien naar versie 1.1 voor de Executive Order.
Hoewel de vereisten nog kunnen veranderen na het einde van de openbare commentaarperiode (26 juni 2023), heeft Interlynk de vereisten voor zelfverklaring in een gemakkelijk te volgen formaat in kaart gebracht om organisaties een voorsprong te geven.
Wie wordt beïnvloed?
M-22–18 is een memo voor de federale agentschappen; daarom zijn de vereisten alleen van toepassing op software die aan hen wordt verkocht of door hen wordt gebruikt.
Alle onderstaande typen softwarewijzigingen vereisen dat producenten het zelfattestatieformulier indienen bij de relevante agentschappen:
Software ontwikkeld na 14 september 2022
Software die een grote herziening ondergaat na 14 september 2022
Continue geleverde software (bijv. software-as-a-service)
Er zijn twee uitgesloten uitzonderingen:
Door de federale agentschappen zelf ontwikkelde software
Vrij beschikbare (bijv. open-source) software
Attestatieformaat
Het attestatieformulier kan online worden ingevuld (link te bepalen per instantie) of via een lokale PDF-download en e-mail (e-mail te bepalen per instantie).
Een attestatie kan van toepassing zijn op een enkele productversie, meerdere versies van het product, een gehele productlijn of het hele bedrijf.
Attestatie-eisen
Het zelfattestatie-document verwijst naar meerdere secties van het Veilig Software Ontwikkelingsraamwerk (SSDF) en Executive Order 14028. Specifiek vereist de zelfattestatie de verklaring van het volgende:
Beveiliging van de software-ontwikkelomgeving
Vertrouwen in de softwarebroncode-leveringsketen
Geautomatiseerde tools en processen voor het vertrouwen op de software-leveringsketen
Beheer van herkomstgegevens voor interne en derde partijcode
Beleid, programma en geautomatiseerde processen voor het beheer van de kwetsbaarheid in de software
Interlynk heeft de vereisten in kaart gebracht met de SSDF-vermelde hypothetische voorbeelden hier. Dit kan dienen als de referentiegids voor het implementeren van de vereiste controles.
Openbare opmerkingen voor zelfattestatie
Het document is open voor openbare opmerkingen tot 26 juni, en dit is een uitstekende gelegenheid om eventuele zorgen of verduidelijkingen met de CISA te delen voordat het onderdeel wordt van de vereisten. Om een opmerking openbaar (of anoniem) te maken, ga naar: https://www.regulations.gov/document/CISA-2023-0001-0001 en klik op "Opmerking." (Directe link: https://www.regulations.gov/commenton/CISA-2023-0001-0001)
Klaar maken
De missie van Interlynk omvat gemakkelijke, voor de hand liggende en geautomatiseerde software openbaarmakingen, beveiligingscontroles en vereisten die zijn uiteengezet in EO14028 en M-22–18. Dit zijn incrementele stappen richting een transparantere en veerkrachtigere software-ecosysteem. We zijn er om elke organisatie te helpen die ondersteuning nodig heeft met duidelijkheid, begeleiding of implementatie van deze controles.
Neem contact met ons op via hello@interlynk.io voor een gesprek.