Siber Güvenlik ve Altyapı Güvenliği Ajansı, teknoloji endüstrisinin yazılım güvenliği için yeni federal gerekliliklere uyum sağlamasına yardımcı olma planının bir parçası olarak, yazılım üreticilerinin uygulamalarının minimum geliştirme standartlarını karşıladığına dair güvence vermeleri gerektiğine dair bir form yayınladıktan sonra kamuoyundan geri bildirim istiyor.
Perşembe günü CISA üreticilerin kendilerini kanıtlamaları için ortak formu yayınladı federal hükümete sağlanan bu yazılım güvenlidir. Yorum dönemi, 26 Haziran’a kadar 60 gün açıktır.
Beyaz Saray, Eylül 2022’de Yönetim ve Bütçe Ofisi aracılığıyla, üçüncü taraf yazılım satıcılarını Ulusal Standartlar ve Teknoloji Enstitüsü tarafından geliştirilen yönergeler kapsamında minimum güvenlik standartlarına uymaya çağıran bir kılavuz yayınladı.
Kendini tasdik formunun doldurulması zorunlu kabul ve uyulmaması, bir ajansın artık o satıcının yazılımını kullanmamasına neden olabilir. Formda yanlış ve yanıltıcı bilgi sağlamak, ihlal edeni cezai yaptırımlara maruz bırakabilir.
Plan, Başkan Joe Biden’ın planının bir parçasıydı. 2021 İcra Emri SolarWinds’i ve Colonial Pipeline fidye yazılımı saldırısını vuran tedarik zinciri saldırısının ardından yazılım güvenliğini güçlendirmek için çeşitli önlemler alınmasını gerektiriyordu.
Hopr’un kurucusu ve CEO’su Tom McNamara, öz tasdik şartının “oldukça zayıf bir standart” olduğunu ve yazılımın gerekli güvenlik düzeyini gerçekten karşıladığından emin olmak için gerekli uyumluluk düzeyine ulaşamayacağını söyledi.
McNamara e-posta yoluyla, “Bu formu federal yürütme politikasını karşılamak için gerekli basit bir uyum faaliyeti olarak görüyorum” dedi. “Ama sıfır güven standardını karşılamıyor.”
McNamara, endüstri uyumluluk standartlarının genellikle çok daha titiz bir inceleme düzeyi gerektirdiğini söyledi. Örneğin bulut bilgi işlem, üçüncü bir tarafça incelenen dijital varlık kimliğini oluşturan ortak anahtar altyapı sertifikalarına sahiptir.
Bir CISA sözcüsü yorum talebinde bulunmadı.