Cómo firmar el nuevo formulario de autocertificación CISA y seguir durmiendo bien por la noche

La adopción de las mejores prácticas de seguridad de la cadena de suministro de software se encuentra actualmente en un momento decisivo similar a la publicación de los requisitos de cumplimiento de PCI en 2006. Al igual que entonces, la nueva regulación está agregando requisitos importantes por parte de los líderes de la empresa, en este caso, para dar fe de la seguridad de su software y los medios exactos utilizados para lograrlo.

El formulario de certificación de desarrollo de software seguro propuesto, aunque aún se encuentra en una versión preliminar final, presentado por DHS – CISA a pedido del memorando M-23-16 de la OMB y anteriormente en el memorando M-22-18, es una obligación con importantes pasivos que lo acompañan. Requiere la firma de la dirección de la empresa, garantizando que cumplen con los requisitos del formulario. Existe la expectativa expresa de que esa persona pueda respaldar su firma con la evidencia adecuada en caso de que ocurra un ataque a la cadena de suministro de software. 

Las cuatro cláusulas del formulario cubren una amplia gama de requisitos pero no ofrecen orientación sobre cómo cumplirlos. La amplia variedad de pilas de tecnología, entornos de nube, herramientas de CI/CD y configuraciones que se encuentran en la industria dificultan la recopilación de toda la evidencia variada requerida en el formulario.

Además, está la cuestión del momento de la verificación. A menos que la empresa recopile pruebas continuamente, poco podrá hacer para demostrar que siguió las mejores prácticas firmadas. 

Recopilar evidencia de manera automática y continua de manera confiable y verificar constantemente las políticas de SDLC que la empresa definió y firmó es la forma correcta de demostrar que se siguieron los requisitos del formulario.   

Obtenga este documento técnico para explorar cómo Scribe puede ayudarle a recopilar y firmar pruebas automáticamente como prueba para generar confianza en el software. 

Le asesoramos sobre lo que debería formar parte de la evidencia requerida, incluidos archivos de registro, capturas de pantalla, archivos de configuración, etc. Sabemos cómo recopilar evidencia de herramientas de terceros e incluirla con el resto de la evidencia para SDLC y crear canales. Ayudamos a tomar esta evidencia y convertirla en certificaciones irrefutables e inmutables que se guardan en un almacenamiento seguro.

Dicha evidencia puede servir como certificaciones válidas para el cumplimiento de SLSA o SSDF. Cada empresa puede personalizar sus propias políticas basándose en el modelo de firma y verificación.

La plataforma Scribe incluye toda la evidencia recopilada de forma fácil de consultar y segmentar. Se puede examinar la vista SBOM agregada de todas las compilaciones y productos, un informe completo de componentes desactualizados, un informe completo de vulnerabilidades (que incluye un Puntaje CVSS y una probabilidad EPSS), y un informe de reputación de la biblioteca basado en la Cuadro de mando OpenSSF proyecto.

Todos los recursos

Últimos recursos

Howard Holton de GigaOm se reúne con Doron Peri, vicepresidente de productos de Scribe Security para hablar sobre la cadena de suministro de software y otros temas en Blackhat
Vea la grabación de nuestro panel de Balck Hat 2024, “De la confianza a la garantía continua basada en evidencia: el futuro de la gobernanza y el cumplimiento de la seguridad”. Suscitó gran interés…