TechSpot تحتفل بعيدها الخامس والعشرين. TechSpot تعني التحليل الفني والمشورة يمكنك الوثوق به.
لماذا يهم: تريد الإدارة الأمريكية تقوية سلسلة توريد البرمجيات من خلال مطالبة البائعين والوكالات الفيدرالية بالتصديق على أن البرنامج الذي يبيعونه (ويستخدمونه) آمن. اتضح أن عملية الاعتماد يمكن أن تكون أكثر تعقيدًا وإزعاجًا مما كان متوقعًا في البداية.
نشره المعهد الوطني للمعايير والتكنولوجيا (NIST) ، ما يسمى ب إطار عمل تطوير البرمجيات الآمن (SSDF) هو “منشور خاص” (800-218) يحتوي على توصيات للتخفيف من مخاطر عيوب أمان البرامج. تم إنشاؤه في أعقاب الشائنة هجمات SolarWinds، يجب أن تساعد الوثائق نظريًا الوكالات الفيدرالية الأمريكية ومطوري البرامج والبائعين على نشر سلسلة توريد أكثر أمانًا وجدارة بالثقة في الولايات المتحدة.
حددت الحكومة الأمريكية في البداية موعدًا نهائيًا صارمًا (14 سبتمبر 2022) للوكالات الفيدرالية المذكورة أعلاه للامتثال لمتطلبات SSDF وإرشادات NIST الإضافية. كان على المسؤولين الأمريكيين أن يشهدوا بأنهم يستخدمون برمجيات مقدمة من البائعين الذين يمكن أن يشهدوا بالامتثال لـ “الحد الأدنى من ممارسات تطوير البرمجيات الآمنة المحددة من قبل الحكومة”.
الموعد النهائي المحدد مسبقًا لم يعد موجودًا ، مثل مكتب الإدارة والميزانية (OMB) يعمل على “نموذج مشترك” للحصول على شهادة البرامج مع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA). بمجرد الانتهاء ، سيتطلب النموذج الجديد من جميع البائعين الفيدراليين ومقدمي البرامج التوقيع عليه. ستمنح الوكالات الفيدرالية ثلاثة أشهر لجمع تلك الشهادات لمقدمي الخدمات “المهمين” ، وستة أشهر للبائعين الآخرين ذوي الأولوية المنخفضة.
تؤكد المذكرة الجديدة على “أهمية ممارسات تطوير البرمجيات الآمنة” ، كما يقول مكتب OMB ، بينما لا تزال CISA جمع الملاحظات في “نموذج الإقرار الذاتي للبرامج الآمنة” الجديد حتى 26 يونيو 2023. يعود أحدث إصدار SSDF (1.1) إلى فبراير 2022 ، وهو يوفر قائمة مفصلة بممارسات التطوير والمراجعة لضمان منتجات البرامج التي تستخدمها حكومة الولايات المتحدة أصبحت على الأقل أصعب قليلاً في الاختراق والتسوية من ذي قبل.
علاوة على ذلك ، أوضح مكتب الإدارة والميزانية (OMB) أن متطلبات المعهد القومي للمعايير والتكنولوجيا (NIST) لا تنطبق على البرامج المفتوحة المصدر و “التي يتم الحصول عليها بحرية وبشكل مباشر” التي تستخدمها الوكالات الفيدرالية والموظفون. تقع فئة البرامج هذه خارج نطاق SSDF ، حيث ليس لدى “العملاء” فرصة واضحة للتفاوض مع مصنع محدد جيدًا لكيان مدمج.
لذلك ، لن تكون هناك حاجة إلى شهادات حول ممارسات الأمان لمتصفح الويب وغيره من “تطبيقات البرامج الأساسية” المجانية ، ولكن المهمة ، والمستخدمة حاليًا من قبل الحكومة. ومع ذلك ، ستظل الوكالات الأمريكية مطالبة بـ “تقييم المخاطر” في استخدام مثل هذه البرامج على أجهزة الكمبيوتر الفيدرالية واتخاذ “الخطوات المناسبة” لتقليل أو القضاء على المخاطر الأمنية المعروفة.