النموذج المشترك للشهادة الذاتية للبرامج الآمنة من CISA: نقطة تحول بالنسبة للمسؤولية

جميع المشاركات

باراك برودو

في سبتمبر 2022، أصدر مكتب الإدارة والميزانية الأمريكي (OMB) أ مذكرة تاريخية فيما يتعلق بالخطوات اللازمة لتأمين سلسلة توريد البرامج الخاصة بك إلى درجة مقبولة من قبل الحكومة الفيدرالية الأمريكية. يجب على أي شركة ترغب في التعامل مع الحكومة وأي وكالة اتحادية تنتج البرامج الالتزام بالمتطلبات والجدول الزمني المنصوص عليه في مذكرة م-22-18.

ركز M-22-18 على أمن وسلامة سلسلة توريد البرمجيات، مع إيلاء اهتمام خاص لدور SBOMS. وتضمنت قائمة المتطلبات والجدول الزمني لتنفيذ الخطوات اللازمة للامتثال. 

أنشأت المذكرة وثيقتين رئيسيتين أنتجتهما NIST: إطار تطوير البرمجيات الآمنة (SSDF)، ليرة 800-218و إرشادات أمان سلسلة توريد البرمجيات كإرشادات NIST بشأن تطوير البرامج الآمنة. وتوضح المذكرة أيضًا مسؤولية منتجي البرامج في الشهادة الذاتية لامتثالهم لتوجيهات NIST قبل أن تصبح الوكالات الفيدرالية حرة في استخدام منتجاتهم. يجب أن تأخذ هذه الإقرار الذاتي شكل إقرار ذاتي موقع "نموذج مشترك". تتطلب ثلاث فئات من البرامج نموذج الإقرار الذاتي هذا: شراء البرامج الجديدة، وترقيات الإصدارات الرئيسية، وتجديد البرامج. 

طلب M-22-18 من CISA إنشاء "النموذج المشترك" القياسي للشهادة الذاتية في غضون 120 يومًا من تاريخ تلك المذكرة (14 سبتمبر 2022). لقد مرت تلك الأيام الـ 120 في يناير 2023 ولكن النموذج لا يزال موجودًا نموذج المسودة على الرغم من إغلاق فترة التعليق الخاصة بها في 26 يونيو 2023. وذلك تقريبًا عندما وجهت مذكرة مكتب الإدارة والميزانية الوكالات في الأصل لبدء جمع الشهادات للبرامج المهمة. 

بناءً على بعض التعليقات الواردة بشأن نموذج المصادقة المشترك هذا، رأى مكتب الإدارة والميزانية أنه من المناسب إصدار تعديل على M-22-18 في 9 يونيو 2023. يحمل هذا التعديل عنوان M-23-16. تعمل المذكرة الجديدة على تمديد الجدول الزمني المنشور في M-22-18 للوكالات لجمع الشهادات من منتجي البرمجيات. مطلوب الآن من الوكالات جمع الإقرار الذاتي "الشكل الشائع" من منتجي البرامج للبرامج "الحرجة" في موعد لا يتجاوز ثلاثة أشهر بعد موافقة مكتب الإدارة والميزانية على نموذج الإقرار الذاتي المشترك لـ CISA. لدى جميع منتجي البرامج الآخرين ستة أشهر بعد موافقة مكتب الإدارة والميزانية على نموذج الإقرار الذاتي. 

منذ هذا يبدو أن نموذج الإقرار الذاتي القياسي يحتل مركز الصدارة، فلنفحص ما يتضمنه بمزيد من التفصيل. سننظر أيضًا في من هو المقصود بالتحديد التوقيع عليه وماذا يعني هذا التوقيع. 

النموذج المشترك للشهادة الذاتية للبرامج الآمنة

باتباع سلسلة اللوائح التنظيمية بدءًا من الأمر التنفيذي 14028 وحتى الأوراق التوجيهية الصادرة عن NIST ومذكرات مكتب الإدارة والميزانية، من الواضح أن الحكومة تهدف إلى حماية الجميع، سواء الوكالات الفيدرالية أو شركات القطاع الخاص، من نقاط الضعف في سلسلة توريد البرمجيات والتطفلات. وبما أن القطاع الخاص لم يفعل ما يكفي حيال ذلك (من وجهة نظر الحكومة)، فقد شرعت الحكومة في إنشاء لوائح جديدة يجب على كل شخص (من يبيع للحكومة الفيدرالية) اتباعها.

بالطبع، حتى لو لم تقم بالبيع للحكومة الفيدرالية (حتى الآن)، فمن مصلحتك اتباع هذه القواعد والشهادة الذاتية بأنك "آمن" نظرًا لأن هذه الشركات ستكون شريكًا تجاريًا أكثر جاذبية. من الذي يرغب في التعامل مع شركة لا يمكنها التأكد من أنها تفعل كل ما في وسعها لحماية منتجاتها ومستخدميها؟

وبما أننا أثبتنا بالفعل أن توجيهات NIST هي أساس اللائحة الجديدة وأفضل الممارسات، فليس من المستغرب أن تظهر نفس الاقتراحات، على سبيل المثال، في قوات دفاع جنوب السودان تظهر أيضًا في نموذج الإقرار الذاتي.

فيما يلي مثال قصير من مسودة الوثيقة:

مقتطف من مسودة النموذج

مأخوذة من مسودة النموذج المشترك للشهادة الذاتية للبرامج الآمنة

يمكننا أن نرى المتطلبات على اليسار متبوعة بقسم EO ذي الصلة ثم بممارسات ومهام SSDF. هذه قائمة شاملة جدًا من المتطلبات (صفحة ونصف) والتي لن تكون بالضرورة واضحة تمامًا إذا لم يكن القارئ يعمل في مجال الأمن السيبراني و/أو DevOps أو DevSecOps.

تتطلب الوثيقة من الموقع على الشركة أن يشهد شخصيًا على أن جميع المتطلبات الموضحة في النموذج يتم الحفاظ عليها باستمرار وأن الشركة ستخطر الوكالات المتأثرة إذا لم يعد أي عنصر في القائمة صالحًا.  

لا تحدد الوثيقة من الذي من المفترض أن يوقع الوثيقة في الشركة، ولكن بما أن هذا النموذج هو متطلبات الشركة للقيام بأعمال تجارية مع الحكومة الفيدرالية ووكالاتها، فمن المنطقي أن الرئيس التنفيذي هو الشخص الذي يجب أن يتحمل المسؤولية هنا. من المحتمل ألا يوقعها الرئيس التنفيذي بشكل أعمى ويطلب من CTO وCISO التحقق (ربما كتابيًا) من أن الشركة تتبع جميع هذه الإرشادات والمتطلبات.

نظرًا لعدم وجود منتج أو طريقة تشغيل راسخة لجمع كل هذه المتطلبات والتصديق عليها، بمعنى أن كل شركة موقعة تحتاج إلى "إعادة اختراع العجلة" لنفسها والأمل في عدم حدوث أي شيء سيئ.

إذا حدث شيء سيئ، فستلاحق الحكومة الفيدرالية الشخص الموقع لإظهار وإثبات قدرته على دعم جميع متطلبات النماذج.

ماذا يحدث إذا لم أوقع؟

أولاً، لا يكون موضوع التصديق هذا ذا صلة حاليًا إلا إذا كان برنامجك قيد الاستخدام من قبل وكالة فيدرالية، أو إذا كنت تنوي بيع برنامجك إلى الحكومة الفيدرالية، أو إذا كان برنامجك مستخدمًا من قبل بائع يكون برنامجه إما قيد الاستخدام أو من المقرر بيعها للحكومة الفيدرالية. 

لاحظ أنني قلت "حاليًا" نظرًا لوجود كل الدلائل على أن امتثال SSDF، سواء كشهادة ذاتية أو في أي شكل آخر يمكن التحقق منه، سيصبح "أفضل ممارسة" جديدة في مجال إنتاج البرمجيات.

لذا، بافتراض أن شركتك تقع ضمن المجموعة المذكورة أعلاه ولا يمكنك العثور على طريقة للتوقيع على هذه الوثيقة بضمير مرتاح، فإن كل شيء لم يضيع بعد. طالما يمكنك شرح مكان النقص في التصديق وتقديم عرض مُرضٍ خطة العمل والمعالم الرئيسية (POA&M) لا يزال بإمكان الوكالة الفيدرالية المعنية شراء/استخدام منتجك ومتابعة تمديد برنامجك نيابةً عنك من OMB. 

الخبر السيئ هو أنه مع أو بدون خطة POA&M ستحتاج في النهاية إلى تقديم نموذج تصديق كامل مما يعني أنك بحاجة إلى أن تكون قادرًا على التحقق أمام محكمة فيدرالية من أن جميع الخطوات المطلوبة في النموذج قد اتبعتها شركتك وأن شركتك تعتبر عملية تطوير البرمجيات آمنة على الأقل مثل متطلبات النموذج.

البرنامج الوحيد المعفى حاليًا من هذا النوع من التصديق هو البرنامج الذي طورته الوكالة الفيدرالية والبرنامج المتاح مجانًا، وهو برنامج AKA مفتوح المصدر. بالطبع معظم أمن سلسلة توريد البرمجيات يمكن تتبع الثغرات بطريقة ما إلى بعض الحزم مفتوحة المصدر في التعليمات البرمجية الخاصة بك، ولكن هناك مشكلة حقيقية في محاولة إجبار مطوري البرامج مفتوحة المصدر والمشرفين، الذين يعملون مجانًا، على تقديم ضمان ملزم قانونًا لبرامجهم. يجب أن يكون الأمر متروكًا لأي شخص يستخدم برنامجًا مفتوح المصدر للتحقق من سلامته بشكل عام وعندما يتعلق الأمر بالبرنامج المضمن فيه بشكل خاص.

السيناريو الأسوأ 

بدأ هذا الوعي الأمني ​​​​بسلسلة توريد البرامج بالكامل بعد الشهرة سولارويندز الإختراق. دون الخوض في الكثير من التفاصيل، في وقت الاختراق، تأثر أكثر من 18,000 عميل للشركة بما في ذلك 9 وكالات فيدرالية.

لقد بدأنا الآن فقط، بعد سنوات، نرى بعض النتائج القانونية لهذا الحادث. المجلس الأعلى للتعليم، هيئة الأوراق المالية والبورصات الأمريكية، يلاحق الشركة ككل وكذلك بعد العديد من المديرين التنفيذيين على مستوى C. يمكن اعتبار هذا مثالًا على نوايا الحكومة في حالة وقوع حادث كهذا أو حادث مشابه لمنتج برمجيات شهد على ممارسات التطوير الآمنة الخاصة به ولكنه وقع ضحية للاختراق.

في حالة SolarWinds، تدعم الشركة بشكل كامل أي موظف يتم استهدافه بمثل هذا الإجراء القانوني. وبمعرفة النظام القانوني الأمريكي، من المرجح أن تستغرق مثل هذه القضايا سنوات وتكلف الكثير من المال. الغرامات ليست مستبعدة وقد تصل إلى ملايين بناءً على تقدير الأضرار التي لحقت.

يمكنك أن تتخيل أنه ليست كل الشركات، وخاصة الصغيرة والمتوسطة، توفر حماية قوية لموظفيها كما تفعل شركة SolarWinds. تكمن المشكلة في أنه إذا كان الطرف المتهم هو الرئيس التنفيذي للشركة، فهناك احتمال حقيقي أن تتأثر ثقة السوق بالشركة ومنتجاتها بشدة. إن مواجهة لجنة الأوراق المالية والبورصة دون دعم شركة كبيرة ذات جيوب كبيرة يمكن أن تدمر الرئيس التنفيذي المطمئن وكذلك شركته. وبطبيعة الحال، فإن القصد هو جعل الناس يتحملون مسؤوليتهم في ضمان التنمية على محمل الجد، ولكن الخوف قد يدفع الناس إلى الخطأ في الحفاظ على أنفسهم. وهذا يعني أن الناس يفضلون إخفاء حوادث الأمن السيبراني إذا كانوا يعتقدون أنهم لا يستطيعون الفوز بقضية محتملة لدى هيئة الأوراق المالية والبورصة أو كانوا يشعرون بالقلق من أن التكلفة والدعاية السيئة لمثل هذه القضية ستكون خطيرة للغاية بحيث يكون من الأفضل إخفاءها بغض النظر عن نتيجة قضية المحكمة.

كيف يمكنني التوقيع؟ 

إن إرشادات NIST SSDF مليئة بالاقتراحات وأفضل الممارسات ولكنها خفيفة على الجوانب العملية. نظرًا لأن كل شركة فريدة من نوعها، فمن الصعب جدًا تقديم منتج أو نظام يناسب الجميع. في هذه الحالة، يتدخل القطاع الخاص لملء الفراغ، وإنشاء نظام بيئي لمساعدتك على متابعة المتطلبات.

على سبيل المثال، قام الكاتب ببناء منصة انطلاقاً من مفهوم إنشاء الشهادات والتوقيع عليها وإتاحة إمكانية التحقق منها. سنقوم قريبًا بإصدار مستند مخصص لـ نموذج الإقرار الذاتي CISA، مما يوضح كيف يمكن أن يساعدك حل Scribe في كل قسم من المتطلبات. ابقوا متابعين.

محاولة الخروج منصة الكاتب مجانية. أنا أشجعك على تجربتها ومعرفة كيف يمكنك ملاءمة النظام الأساسي مع متطلباتك والتوقيع على نموذج الإقرار الذاتي الخاص بـ CISA بضمير مرتاح في نفس الوقت.

يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.

الوظائف ذات الصلة

صورة عدسة مكبرة فوق الكود
كيفية دمج SBOMs عبر SDLC بالكامل

في مشهد تطوير البرمجيات سريع التطور اليوم، أصبحت الأمان والامتثال أمرًا بالغ الأهمية. ومع اعتماد المؤسسات بشكل متزايد على مكونات الجهات الخارجية والبرمجيات مفتوحة المصدر، لم يكن فهم ما بداخل برنامجك أكثر أهمية من أي وقت مضى. أدخل قائمة مواد البرنامج (SBOM) - وهي قائمة مفصلة بجميع المكونات والمكتبات والتبعيات التي يتكون منها برنامجك. يؤدي دمج قوائم مواد البرنامج (SBOM) إلى تحسين جودة البرنامج.

صورة توضح المقارنة
SPDX مقابل CycloneDX: مقارنة تنسيقات SBOM

على الرغم من الاعتماد المتزايد على قائمة مواد البرامج (SBOM) لتكون بمثابة أداة لإدارة الثغرات الأمنية والأمن السيبراني، لا تزال العديد من المؤسسات تكافح من أجل فهم تنسيقي SBOM الأكثر شيوعًا والمستخدمين اليوم، SPDX وCycloneDX. في هذه المقالة، سنقارن بين هذين التنسيقين لمساعدتك في اختيار التنسيق المناسب لك […]

صورة مميزة
استخدام Valint لتطبيق السياسات على SDLC الخاص بك

Valint هي أداة Scribe الرئيسية لإنشاء الأدلة وإدارتها وتوقيعها والتحقق منها. في منشور سابق، تناولنا نظرية استخدام التوقيع والتحقق من الأدلة كأداة رئيسية للتحقق من أمان خط أنابيب CI/CD الخاص بك. كتذكير قصير، يتضمن نموذج سكرايب المقترح العديد من العناصر الأساسية التي يمكن خلطها ودمجها […]

المشاركات الأكثر شعبية
فهم وتنفيذ الأمر التنفيذي الفيدرالي الجديد رقم 14144 بشأن أمن البرمجيات: دليل عمليكيفية دمج SBOMs عبر SDLC بالكاملالدفاع ضد الهجمات الأخيرة على سلسلة توريد البرمجيات: الدروس والاستراتيجياتهل ستذهب إلى المعركة بدون خريطة؟
الأقسام