دولت ایالات متحده زمان بیشتری را برای تأیید امنیت نرم افزار فراهم می کند

از

علاوه بر این، OMB تصریح کرده است که الزامات NIST برای نرم افزارهای منبع باز و «آزادانه، مستقیماً به دست آمده» که توسط آژانس ها و پرسنل فدرال استفاده می شود اعمال نمی شود. این دسته نرم افزار خارج از محدوده SSDF است، زیرا “مشتریان” فرصت واضحی برای مذاکره با یک سازنده کاملاً تعریف شده از نهاد ثبت شده ندارند.

منتشر شده توسط موسسه ملی استانداردها و فناوری (NIST)، چارچوب توسعه نرم افزار ایمن (SSDF) یک “نشر ویژه” (800-218) است که حاوی توصیه هایی برای کاهش خطر نقص های امنیتی نرم افزار است. این اسناد که در پی حملات بدنام SolarWinds ایجاد شد، از نظر تئوری باید به آژانس‌های فدرال ایالات متحده، توسعه‌دهندگان نرم‌افزار و فروشندگان کمک کند تا زنجیره تامین امن‌تر و قابل اعتمادتری را در ایالات متحده مستقر کنند.

مهلت تعیین شده قبلی دیگر وجود ندارد، زیرا دفتر مدیریت و بودجه (OMB) در حال کار بر روی یک “فرم مشترک” برای صدور گواهینامه نرم افزار با آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) است. پس از تکمیل، فرم جدید از همه فروشندگان فدرال و ارائه دهندگان نرم افزار می خواهد که آن را امضا کنند. به آژانس‌های فدرال سه ماه فرصت داده می‌شود تا این گواهی‌ها را برای ارائه‌دهندگان «بحرانی» جمع‌آوری کنند و شش ماه برای سایر فروشندگان با اولویت پایین.

دفتر OMB می گوید، یادداشت جدید «اهمیت شیوه های توسعه نرم افزار ایمن» را مجدداً تأیید می کند، در حالی که CISA هنوز در حال جمع آوری بازخورد در مورد «فرم خود گواهی نرم افزار ایمن» تا 26 ژوئن 2023 است. آخرین نسخه SSDF (1.1) تاریخ دارد. به فوریه 2022 باز می گردد، و فهرست دقیقی از شیوه های توسعه و بررسی ارائه می کند تا اطمینان حاصل شود که محصولات نرم افزاری مورد استفاده توسط دولت ایالات متحده حداقل کمی سخت تر از قبل هک می شوند و به خطر می افتند.

بخونید:  Google Translate در چین به دلیل استفاده کم بسته شده است

دولت ایالات متحده در ابتدا یک ضرب الاجل سخت (14 سپتامبر 2022) برای آژانس های فدرال فوق الذکر تعیین کرده بود تا از الزامات SSDF و دستورالعمل های اضافی NIST پیروی کنند. مقامات ایالات متحده باید گواهی می‌دادند که از نرم‌افزار ارائه‌شده توسط فروشندگانی استفاده می‌کنند که می‌توانند مطابقت با «حداقل شیوه‌های توسعه نرم‌افزار ایمن مشخص شده توسط دولت» را تأیید کنند.

بنابراین، برای مرورگرهای وب و سایر «نرم‌افزارهای اصلی» رایگان و در عین حال قابل توجهی که در حال حاضر توسط دولت استفاده می‌شود، گواهی‌نامه‌های مربوط به اقدامات امنیتی مورد نیاز نخواهد بود. با این حال، آژانس‌های ایالات متحده همچنان ملزم به ارزیابی ریسک در استفاده از چنین نرم‌افزاری در رایانه‌های فدرال و اتخاذ «گام‌های مناسب» برای به حداقل رساندن یا حذف خطرات امنیتی شناخته شده خواهند بود.



منبع

چرا مهم است: دولت ایالات متحده می‌خواهد زنجیره تامین نرم‌افزار را با ملزم کردن فروشندگان و آژانس‌های فدرال برای تایید امنیت نرم‌افزاری که می‌فروشند (و استفاده می‌کنند) تقویت کند. به نظر می رسد که فرآیند صدور گواهینامه می تواند بسیار پیچیده تر و دردسرسازتر از آنچه در ابتدا پیش بینی شده بود باشد.