11 Haziran’dan itibaren (bugün) ABD hükümeti yüklenicileri, kritik altyapı yazılımlarının takip edildiğini iddia eden bir form doldurmaları gerekecek tasarım gereği güvenlik ilkeleri ve içindeki her bileşenin yazılım malzeme listeleri (SBOM’lar) biçiminde inceleme altında olduğunu. Siber Güvenlik ve Altyapı Ajansı (CISA), şunları yayınladı: Güvenli Yazılım Geliştirme Onay Formu Mart ayında geri döndüm. Tedarik zinciri güvenlik yönetimi şirketi Lineaje tarafından RSA Konferansında yakın zamanda yapılan bir araştırma, birçok tedarikçinin hazır olmadığını öne sürdü.
Lineaje, federal siber güvenlik onayı için son tarihi karşılamaya hazır olup olmadıkları sorulduğunda yanıt verenlerin yalnızca %20’sinin hazır olduklarını söyledi. Daha da kötüsü, yalnızca %16’sı şirketlerinin SBOM’ları uyumluluğun önemli bir parçası olan yazılım geliştirme sürecine dahil ettiğini söyledi.
Mayıs 2021’de, SolarWinds efsanesi ve Log4j istismarı gibi geniş çapta duyurulan olayların ardından ABD Başkanı Joe Biden, hükümet yüklenicilerine siber güvenlik uygulamaları için daha sıkı standartları karşılamaya başlamaları gerektiği konusunda uyarıda bulundu. Biden’ın Ülkenin Siber Güvenliğinin İyileştirilmesine İlişkin Yönetici Emri (EO 14028), sistemlerini ve üzerlerindeki tüm yazılımları izlenebilir ve denetlenebilir hale getirerek ABD hükümetini daha güvenli hale getirmek için bir yol haritası belirledi.
Bu, CEO’nun veya yetkili atanmış kişinin, şirketlerinin “şu anda güvenli yazılım geliştirme çerçevesinden (SSDF) türetilen aşağıdaki uygulamaları tutarlı bir şekilde kullandığına” ve tüm uygulamaların “kaynaklarının korunması” da dahil olmak üzere yemin ettiği Güvenli Yazılım Geliştirme Onay Formu ile sonuçlandı. bileşenleri ve bir güvenlik açığı raporlama sisteminin kurulması. Form için kullanılabilir doldurulabilir PDF olarak indir veya çevrimiçi bir form olarak Yazılım Onayları ve Yapılar portalı deposu.
Kritik sayılmayan diğer tüm yazılımlar için satıcıların 11 Eylül’e kadar kendi kendini onaylama işlemine başlaması gerekmiyor.