TechSpot praznuje 25. obletnico. TechSpot pomeni tehnično analizo in nasvet, ki mu lahko zaupate.
Zakaj je pomembno: Ameriška administracija želi okrepiti dobavno verigo programske opreme tako, da od prodajalcev in zveznih agencij zahteva, da potrdijo, da je programska oprema, ki jo prodajajo (in uporabljajo), varna. Izkazalo se je, da je postopek certificiranja lahko veliko bolj zapleten in težaven, kot je bilo sprva predvideno.
Tako imenovano varno ogrodje za razvoj programske opreme (SSDF), ki ga je objavil Nacionalni inštitut za standarde in tehnologijo (NIST), je „posebna publikacija” (800-218), ki vsebuje priporočila za zmanjšanje tveganja varnostnih napak programske opreme. Dokumentacija, ustvarjena po zloglasnih napadih SolarWinds, bi teoretično morala pomagati ameriškim zveznim agencijam, razvijalcem in prodajalcem programske opreme pri uvajanju bolj varne in zaupanja vredne dobavne verige v Združenih državah.
Vlada ZDA je sprva določila strog rok (14. september 2022), da zgoraj omenjene zvezne agencije izpolnjujejo zahteve SSDF in dodatne smernice NIST. Ameriški uradniki so morali potrditi, da uporabljajo programsko opremo, ki so jo zagotovili prodajalci, ki so lahko potrdili skladnost z „minimalnimi praksami varnega razvoja programske opreme, ki jih je določila vlada.”
Prejšnjega roka ni več, saj Urad za upravljanje in proračun (OMB) dela na „skupnem obrazcu” za certificiranje programske opreme z Agencijo ZDA za kibernetsko varnost in varnost infrastrukture (CISA). Ko bo novi obrazec izpolnjen, ga morajo podpisati vsi zvezni prodajalci in ponudniki programske opreme. Zvezne agencije bodo imele tri mesece časa za zbiranje teh potrdil za „kritične” ponudnike in šest mesecev za druge prodajalce z nizko prioriteto.
Novi memorandum ponovno potrjuje „pomen praks varnega razvoja programske opreme”, pravi urad OMB, medtem ko CISA še vedno zbira povratne informacije o novem „obrazcu za samopotrditev varne programske opreme” do 26. junija 2023. Najnovejša različica SSDF (1.1) je do februarja 2022 in zagotavlja podroben seznam razvojnih in pregledovalnih praks za zagotovitev, da je izdelke programske opreme, ki jih uporablja ameriška vlada, vsaj malo težje vdreti in ogroziti kot prej.
Poleg tega je OMB pojasnil, da zahteve NIST ne veljajo za odprtokodno in „prosto, neposredno pridobljeno” programsko opremo, ki jo uporabljajo zvezne agencije in osebje. Ta kategorija programske opreme je izven obsega SSDF, saj „stranke” nimajo jasne možnosti za pogajanja z natančno opredeljenim proizvajalcem registriranega subjekta.
Zato potrdila o varnostnih praksah ne bodo potrebna za spletni brskalnik in druge brezplačne, a pomembne „osnovne programske aplikacije”, ki jih trenutno uporablja vlada. Ameriške agencije pa bodo še vedno morale „oceniti tveganje” pri uporabi takšne programske opreme na zveznih računalnikih in sprejeti „ustrezne korake” za zmanjšanje ali odpravo znanih varnostnih tveganj.