0
0
O Office of Management and Budget ( OMB ) emitiu um memorando exigindo que as agências do governo federal dos EUA usem software que foi construído de acordo com práticas de desenvolvimento de software seguro e cujos desenvolvedores sigam as práticas de segurança da cadeia de fornecimento de software , conforme especificado pelo National Institute of Standards . e Tecnologia (NIST).
“O termo ‘software’ para fins deste memorando inclui firmware, sistemas operacionais, aplicativos e serviços de aplicativos (por exemplo, software baseado em nuvem), bem como produtos contendo software”, explica o memorando .
O memorando
“Não muito tempo atrás, o único critério real para a qualidade de um software era se ele funcionava como anunciado”, disse Chris DeRusha, diretor federal de segurança da informação e vice-diretor nacional cibernético.
“Com as ameaças cibernéticas enfrentadas pelas agências federais, nossa tecnologia deve ser desenvolvida de forma a torná-la resiliente e segura, garantindo a entrega de serviços críticos ao povo americano, protegendo os dados do público americano e protegendo contra adversários estrangeiros.”
As agências receberam um roteiro de como implementar os requisitos estabelecidos no memorando e quando:
- Eles devem inventariar todo o software (dentro de 90 dias)
- Seus CIOs devem comunicar os requisitos aos fornecedores e garantir que as cartas de atestado sejam coletadas em um sistema de agência central (dentro de 120 dias)
- Eles devem coletar cartas de atestado para “software crítico” (dentro de 270 dias)
- Eles devem coletar cartas de atestado para todos os softwares sujeitos aos requisitos do memorando (no prazo de 365 dias), e
- Seus CIOs devem avaliar as necessidades de treinamento e desenvolver planos de treinamento para a revisão e validação de atestados e artefatos de software (ou seja, uma lista de materiais de software ) (dentro de 180 dias)
“As agências são obrigadas a obter um auto-atestado do produtor de software antes de usar o software”, diz o memorando, e “se o produtor de software não puder atestar uma ou mais práticas do NIST Guidance identificadas no formulário de auto-atestado padrão, a agência solicitante deve exigir que o produtor de software identifique as práticas que não podem atestar, documente as práticas que eles têm para mitigar esses riscos e exija que um Plano de Ação e Marcos (POA&M) seja desenvolvido.”
Se um autoatestado não puder ser produzido pelo produtor de software – por exemplo, no caso de software de código aberto ou produtos que incorporem software de código aberto – um atestado por uma avaliação de terceiros fornecido por uma Organização de Avaliação de Terceiros do FedRAMP (3PAO) ou um aprovado pela agência deve ser obtido.
Os requisitos de atestado não se aplicam ao software desenvolvido pelas próprias agências, mas espera-se que as agências implementem práticas seguras de desenvolvimento de software.
Os requisitos ajudarão a aumentar a segurança do software para todos
O memorando visa evitar incidentes como o hack SolarWinds de 2020, quando os invasores violaram várias agências federais dos EUA por meio do software SolarWinds Orion comprometido.
É parte da realização de um plano estabelecido na Ordem Executiva de maio de 2021 do presidente Joe Biden para melhorar a segurança cibernética da nação , que inclui etapas para trabalhar para modernizar a segurança cibernética do governo federal e aprimorar a segurança da cadeia de suprimentos de software.
Embora este memorando se aplique apenas a agências federais e departamentos executivos dos EUA, certamente levará a um impacto positivo para o setor público e privado nos EUA e também em todo o mundo, uma vez que a maioria dos softwares e soluções em questão são amplamente utilizados.
FONTE: HELPNET SECURITY