Mit dem neuesten OMB-Memo heben wir die Sicherheit der Software-Lieferkette auf die nächste Stufe

Alle Beiträge

Die globale Software-Lieferkette ist immer unter Druck Bedrohung durch Cyberkriminelle die damit drohen, vertrauliche Informationen oder geistiges Eigentum zu stehlen und die Systemintegrität zu gefährden. Diese Probleme können sich sowohl auf kommerzielle Unternehmen als auch auf die Fähigkeit der Regierung auswirken, Dienstleistungen für die Öffentlichkeit sicher und zuverlässig bereitzustellen. 

Das United States Office of Management and Budget (OMB) veröffentlichte im Juli 2022 ein Memo zu diesem Thema, das wir behandelt haben Hier im Detail. Im September 2022 wurde ein neues Memo veröffentlicht, das sich dieses Mal auf die Sicherheit und Integrität der Software-Lieferkette konzentriert und die bedeutende Rolle von SBOMs hervorhebt. Es stellt eine Liste der genauen Anforderungen dar und teilt erstmals einen tatsächlich verbindlichen Zeitplan für die Umsetzung von Änderungen mit. 

Das Memo enthält zwei Hauptpunkte im Zusammenhang mit der Executive Order (EO) 14028 zur Verbesserung der Cybersicherheit der Nation:

  • Der EO weist das National Institute of Standards and Technology (NIST) an, Leitlinien für die Entwicklung von Praktiken auszutauschen, die darauf abzielen, die Sicherheit der Software-Lieferkette zu erhöhen. Um dies zu erreichen, veröffentlichte NIST zwei Dokumente: das Secure Software Development Framework (SSDF), SP800-218 und Sicherheitsleitfaden für die Software-Lieferkette. Zusammen werden sie NIST-Leitlinien genannt und beschreiben eine Reihe von Praktiken, die die Grundlage für die Erstellung sicherer Software bilden. 
  • Der EO weist das Amt für Verwaltung und Haushalt außerdem an, von den Agenturen zu verlangen, dass sie sich an die NIST-Leitlinien und alle anderen Aktualisierungen halten. 

Eine Selbstbescheinigung ist Voraussetzung, aber ist sie alles?

Softwarehersteller sind nun verpflichtet, Agenturen eine Selbstbescheinigung auszustellen, bevor sie mit der Nutzung ihrer Software beginnen. Tatsächlich gibt es drei Kategorien, für die eine Selbstbescheinigung erforderlich ist: der Kauf neuer Software, Upgrades größerer Versionen und Softwareverlängerungen. Ziel ist es, Behörden mit sicheren und belastbaren Softwareprodukten auszustatten, die sie vor Bedrohungen wie What schützen SolarWinds erlebt, was mehrere Agenturen beeinträchtigte. 

Beginnen wir mit den Grundlagen: Was genau ist eine Selbstbescheinigung? 

Eine Selbstbescheinigung ist ein Dokument, das wie eine Konformitätserklärung funktioniert und bescheinigt, dass der Softwarehersteller die Praktiken der NIST-Richtlinien einhält. Die Idee besteht darin, dass Agenturen eine Selbstbescheinigung für jedes Softwareprodukt oder jede Dienstleistung von Drittanbietern erhalten, die unter die Anforderungen des Memos fallen. Dazu gehören Software-Erneuerungen und größere Versionsaktualisierungen.

Ein weiterer wichtiger Punkt in dem Memo besteht darin, dass Agenturen Softwareunternehmen dazu ermutigen sollen, Produkte inklusiv zu betreiben. Dies würde es ihnen ermöglichen, allen Einkaufsagenturen die gleiche Bescheinigung vorzulegen.

Die Agentur kann das Selbstbescheinigungsdokument behalten, es sei denn, das Softwareunternehmen veröffentlicht es öffentlich und bietet in seinem Angebot einen Link zu der Veröffentlichung an. 

Hinweis: Während in allen anderen Memos oder Richtlinien bisher behauptet wird, dass die Selbstbescheinigung für den Anfang ausreichend ist, werden in diesem Dokument Vertrauen und Transparenz als Hauptziele festgelegt. Der Schwerpunkt liegt speziell auf der Software-Lieferkette und nicht nur auf Cybersicherheit oder SSDF (auch wenn diese Teil davon sind).

Was passiert, wenn das Softwareunternehmen die Selbstbescheinigung nicht im Standardformat bereitstellen kann?

Ein Softwarehersteller ist möglicherweise nicht in der Lage, eine oder mehrere Praktiken aus den NIST-Leitlinien zu bescheinigen, wie sie im Standard-Selbstbescheinigungsformular angegeben sind. In diesem Fall verlangt die Agentur, die die Software anfordert, dass das Unternehmen:

  • Identifizieren Sie die Praktiken, die sie nicht bestätigen können 
  • Dokumentieren Sie alle Praktiken, die zur Minderung dieser Risiken eingesetzt werden 
  • Entwickeln Sie einen Aktions- und Meilensteinplan (POA&M) 

Selbstverständlich muss die Agentur sicherstellen, dass die Dokumentation nicht öffentlich veröffentlicht wird (weder vom Anbieter noch von der Agentur selbst).

Angenommen, der Anbieter stellt die gesamte Dokumentation zur Verfügung und diese ist für die Agentur zufriedenstellend. In diesem Fall ist dieser berechtigt, die Softwareprodukte oder Dienstleistungen auch dann zu nutzen, wenn der Hersteller keine vollständige Selbstauskunft vorlegt.

Was muss eine akzeptable Selbstbescheinigung beinhalten?

Ein Selbstbescheinigungsdokument muss die folgenden Mindestanforderungen enthalten: 

  • Der Name des Softwareunternehmens
  • Eine Beschreibung der Softwareprodukte, auf die sich die Aussage bezieht (idealerweise beschreibt dieser Punkt die Ebene des Softwareunternehmens oder der Produktlinie, einschließlich aller nicht klassifizierten Produkte, die Agenturen angeboten werden)
  • Eine Erklärung, die bestätigt, dass der Anbieter im Einklang mit sicheren Entwicklungspraktiken und -aufgaben arbeitet (aufgelistet im Selbstbescheinigungsformular)

Diese Art der Selbstbescheinigung ist das erforderliche Mindestniveau. Wenn Behörden dennoch Software ohne Software beschaffen möchten – beispielsweise aufgrund ihrer Kritikalität –, können sie risikobasierte Feststellungen mithilfe einer Bewertung durch Dritte (definiert in) vornehmen M-21-30). 

Dennoch fordert die Richtlinie die Agenturen dazu auf, ein Standard-Selbstbescheinigungsformular zu verwenden. Der Federal Acquisition Regulatory (FAR) Council wird eine Regelung zur Verwendung eines solchen standardmäßigen und einheitlichen Selbstbescheinigungsformulars vorschlagen. 

Selbstbescheinigung für Open-Source-Software

Angenommen, die Agentur möchte Open-Source-Software oder ein Softwareprodukt erwerben, das Open-Source-Komponenten enthält. In diesem Fall kann auf eine externe Bewertung zurückgegriffen werden, die von einer zertifizierten FedRAMP Third Party Assessor Organization (3PAO) durchgeführt wird oder von der Agentur selbst genehmigt wurde.

Eine solche Bewertung ist anstelle der Selbstbescheinigung eines Anbieters akzeptabel, solange das 3PAO die NIST-Leitlinien als Grundlage verwendet. 

SBOMs werden zum Industriestandard. Bist du dafür bereit?

Ein Bild der Standards

Während die Selbstbescheinigung das erforderliche Mindestniveau darstellt, benötigen Agenturen sie möglicherweise nicht, wenn das Produkt oder die Dienstleistung, die sie erwerben möchten, von entscheidender Bedeutung ist und keine Selbstbescheinigung in Standardform bereitstellen kann.

Wichtig ist, dass das Memo Agenturen dazu ermutigt, Artefakte von Anbietern zu beziehen, die ihre Konformität mit sicheren Softwareentwicklungspraktiken nachweisen. Eine dieser Praktiken umfasst die Erstellung eines SBOM. 

Was ist eine SBOM und wie funktioniert sie?

SBOM bezieht sich auf eine Software-Stückliste, eine Bestandsaufnahme aller Komponenten und Abhängigkeiten, die Teil der Entwicklung und Lieferung eines Softwareprodukts sind.

Eine Agentur kann eine verlangen SBOM im Rahmen von Ausschreibungsanforderungen, abhängig von der Kritikalität der Software für die Agentur. 

Das Memo enthält die folgenden Richtlinien für die Beschaffung und Nutzung von SBOM durch Agenturen:

  • Die Agentur kann das SBOM behalten, es sei denn, der Softwarehersteller veröffentlicht es und teilt der Agentur einen Link dazu mit. 
  • SBOMs müssen mit einem der in definierten Datenformate generiert werden NTIA-Bericht „Die Mindestelemente für eine Software-Stückliste (SBOM)“ oder Nachfolgeleitfaden, veröffentlicht von der Agentur für Cybersicherheit und Infrastruktursicherheit
  • Bei der Betrachtung von SBOMs müssen Agenturen die Reziprozität von SBOM und anderen Artefakten von Softwareherstellern berücksichtigen, die von anderen Agenturen verwaltet werden. Dies basiert auf der direkten Anwendbarkeit und Aktualität des Artefakts. 
  • Bei Bedarf benötigt die Behörde möglicherweise andere Artefakte als SBOM – beispielsweise solche im Zusammenhang mit automatisierten Tools und Prozessen zur Validierung der Quellcodeintegrität oder zur Durchführung von Schwachstellenprüfungen.
  • Die Agentur kann auch verlangen, dass das Softwareunternehmen den Nachweis erbringt, dass es an einem beteiligt ist Programm zur Offenlegung von Sicherheitslücken.

Das Memo schlägt außerdem vor, dass Agenturen Anbieter so früh wie möglich im Akquiseprozess über diese Anforderungen informieren. Um die Verordnung und die NIST-Richtlinien einzuhalten, müssen Behörden angemessen planen und alle Anforderungen in ihren Softwarebewertungsprozess einbeziehen. Beachten Sie, dass dies auch mit dem im Memo festgelegten Zeitplan übereinstimmen sollte (dies wird im nächsten Abschnitt behandelt).

Agenturen müssen Anforderungen in der Angebotsanfrage (RFP) oder in anderen Ausschreibungsunterlagen angeben. Hier geht es darum, dass die Agentur dafür sorgt, dass der Anbieter es umsetzt und nutzt Sichere Softwareentwicklungspraktiken im Einklang mit den NIST-Richtlinien während des gesamten Softwareentwicklungslebenszyklus.

SBOM ist eindeutig eine Best Practice der Branche auf dem Weg zu einer breiten Nutzung, insbesondere zur Schadensbegrenzung Risiken in der Software-Lieferkette

Um Unternehmen dabei zu helfen, Vertrauen in ihre Softwareprodukte aufzubauen, haben wir kürzlich eine benutzerfreundliche Plattform eingeführt, die dabei hilft, SBOMs zu erstellen und diese innerhalb und zwischen Organisationen zu teilen. Probieren Sie es aus Entdecken Sie kostenlos, wie einfach es sein kann, SBOMs zu erstellen, zu verwalten und zu teilen.

Es ist nicht mehr nur eine Empfehlung; Jetzt gibt es einen verbindlichen Zeitplan, dem man folgen muss

Agenturen müssen die Memo-Anforderungen im Einklang mit diesem Zeitplan erfüllen:

  • Agenturen haben 90 Tage die gesamte Software von Drittanbietern zu inventarisieren, einschließlich eines separaten Inventars für „kritische Software“. 
  • Innerhalb 120 Tage, müssen sie „einen konsistenten Prozess schaffen, um den Anbietern relevante Anforderungen in diesem Memorandum mitzuteilen und sicherzustellen, dass Bescheinigungsschreiben, die nicht öffentlich von Softwareanbietern veröffentlicht werden, in einem zentralen Agentursystem gesammelt werden.“ 
  • Sie haben auch 270 Tage um Attestierungsschreiben zu sammeln, die nicht öffentlich für „kritische Software“ veröffentlicht wurden. Innerhalb eines Jahres sollten die Agenturen die Briefe für sämtliche Drittsoftware gesammelt haben.
  • Endlich im Inneren 180 Tage Ab dem Datum des Memos (14. September 2022) müssen die CIOs der Agentur den Schulungsbedarf bewertet und Schulungspläne für die Überprüfung und Validierung der Bescheinigungsdokumente und Artefakte entwickelt haben. 

Agenturen können mindestens 30 Tage vor der im Memo genannten relevanten Frist eine Verlängerung zusammen mit einem Plan zur Erfüllung der ausstehenden Anforderungen beantragen. Es ist auch möglich, eine Befreiung zu beantragen, allerdings nur in Ausnahmefällen und für einen begrenzten Zeitraum.

Zusammenfassung

Das OMB wird innerhalb von 90 Tagen ab dem Memo-Datum (bis Mitte Dezember 2022) spezifische Anweisungen für die Einreichung von Anträgen auf Ausnahmen oder Verlängerungen mitteilen. Darüber hinaus wird es in Absprache mit CISA und der General Services Administration die Anforderungen für ein „zentrales Repository für Softwarebescheinigungen und Artefakte“ mit den richtigen Mechanismen zum Schutz und zur gemeinsamen Nutzung zwischen Behörden festlegen. 

Ein solcher zentraler Ort könnte eines Tages zu einem zentralen Ort für eine Vielzahl von Sicherheitsnachweisen und Bescheinigungen werden, die über das Selbstbescheinigungsformular oder SBOM hinausgehen. Die Platzierung aller Beweise an einem einzigen, gemeinsam nutzbaren Ort hilft Unternehmen bei der Bewältigung gemeinsamer Probleme, wie z. B. aufkommender neuer Exploits oder CVEs. 

Genau darum geht es bei Scribe. Schauen Sie mal rein diese Seite Erfahren Sie mehr über unsere umfassende Plattform zum Generieren, Verwalten und Teilen von SBOMs innerhalb und zwischen Organisationen. 

Banner

Diese Inhalte werden Ihnen von Scribe Security zur Verfügung gestellt, einem führenden Anbieter von End-to-End-Sicherheitslösungen für die Software-Lieferkette, der modernste Sicherheit für Code-Artefakte sowie Code-Entwicklungs- und Bereitstellungsprozesse in der gesamten Software-Lieferkette bietet. Weitere Informationen.