Comprendere e soddisfare il nuovo mandato federale sulla sicurezza del software: una guida pratica

Tutti i messaggi

Doron Peri

Comprendere e soddisfare il nuovo mandato federale sulla sicurezza del software: una guida pratica

Il panorama della sicurezza del software federale sta subendo una trasformazione significativa. A gennaio 2025, la Casa Bianca ha emesso un nuovo Ordine Esecutivo concentrandosi sul rafforzamento della sicurezza e della trasparenza delle catene di fornitura di software di terze parti utilizzate dalle agenzie federali. Questo mandato introduce cambiamenti cruciali che i fornitori di software devono comprendere e per i quali devono prepararsi, soprattutto data la rigorosa tempistica per la conformità.

Il contesto: perché adesso?

Negli ultimi anni si è assistito a una serie di attacchi informatici devastanti che hanno sfruttato le vulnerabilità in catene di fornitura del software. La violazione di SolarWinds, l'attacco 3CX, lo sfruttamento di Codecov e la vulnerabilità Log4Shell hanno dimostrato come i modelli di sicurezza tradizionali, incentrati sulle difese perimetrali e sulla risposta agli incidenti post-fatto, non siano più sufficienti. Gli aggressori ora prendono di mira il ciclo di vita dello sviluppo software stesso, immettendo codice dannoso o sfruttando le vulnerabilità prima che il software raggiunga i suoi utenti finali.

La crescente dipendenza da componenti software di terze parti e soluzioni fornite commercialmente ha ampliato la potenziale superficie di attacco per i sistemi governativi. Questa crescente complessità nelle catene di fornitura software ha creato urgenti esigenze di maggiore visibilità, responsabilità e misure di sicurezza durante tutto il processo di sviluppo.

Comprendere i nuovi requisiti

L'EO del 2025 si basa sulle direttive precedenti, in particolare sull'EO 14028 del 2021, ma introduce diverse innovazioni chiave:

  1. Attestazioni leggibili dalla macchina. A differenza dei requisiti precedenti che accettavano la documentazione generale, il nuovo mandato richiede attestazioni standardizzate e leggibili dalle macchine di pratiche di sviluppo software sicure. Queste devono essere automaticamente acquisite e convalidate dai sistemi federali, rappresentando un significativo spostamento verso la verifica automatizzata della conformità. I ​​fornitori di software devono dimostrare il loro allineamento con framework di sicurezza riconosciuti come NIST 800-218 o OWASP in un formato che consenta la revisione automatizzata dell'agenzia.
  2. Ecosistema di prove integrate. L'EO impone artefatti di alto livello come prova di affermazioni fatte in attestazioni leggibili dalla macchina. Ciò crea un allineamento più stretto tra pratiche dichiarate e prove effettive, richiedendo ai provider di mantenere una documentazione completa delle loro misure di sicurezza. Questi artefatti devono includere:
  • Riepiloghi leggibili dall'uomo dei processi di sviluppo sicuri
  • Certificati di audit o valutazioni indipendenti (in particolare per software critici)
  • Riferimenti a Distinte materiali del software (SBOM)
  • Documentazione che comprova le fonti e i contributori di ogni componente del codice
  • Registri di verifica dei test di sicurezza e delle revisioni del codice
  1. Visibilità dell'agenzia del ramo esecutivo civile federale (FCEB). I fornitori di software devono mantenere un elenco aggiornato delle agenzie FCEB che utilizzano i loro prodotti e servizi, inclusi i dettagli della versione. Ciò garantisce un reporting coordinato delle vulnerabilità e l'implementazione delle patch tra le agenzie federali. Pur mantenendo la trasparenza, i fornitori devono anche salvaguardare le informazioni di approvvigionamento sensibili da divulgazioni non autorizzate e implementare metodi sicuri per condividere questi dettagli con le autorità federali autorizzate.
  2. Gestione automatizzata delle vulnerabilità. Il nuovo mandato stabilisce tempistiche aggressive per la risposta alle vulnerabilità. I ​​provider devono:
  • Esegui una scansione di sicurezza automatizzata continua
  • Correggere le vulnerabilità critiche in tempi rapidi (ad esempio, 48 ore)
  • Mantenere chiare catene di custodia per il codice aggiornato
  • Fornire notifiche quasi in tempo reale sui problemi di sicurezza alle agenzie
  • Documentare e verificare tutte le patch tramite il sistema di attestazione
  • Implementare strumenti automatizzati per rilevare falle di sicurezza

Tempistiche critiche per la conformità

L'EO stabilisce una tempistica rigorosa a cui i fornitori di software devono prepararsi:

  • Entro 60 giorni: L'Office of Management and Budget (OMB), il NIST e il CISA forniranno una guida completa sui formati di attestazione e sui requisiti minimi
  • Entro 180 giorni: Tutti i nuovi appalti di software federali devono includere attestazioni SDLC leggibili dalla macchina e i fornitori esistenti devono produrre artefatti di alto livello ed elenchi iniziali dei clienti FCEB
  • Entro 365 giorni: Le agenzie devono eliminare gradualmente il software non conforme e inizieranno gli audit di terze parti

L'impatto sullo sviluppo del software

Questo mandato cambia radicalmente il modo in cui le organizzazioni devono approcciare lo sviluppo software per uso federale. I team di sviluppo dovranno:

  • Integrare controlli e verifiche di sicurezza in tutta la pipeline CI/CD
  • Implementare nuovi strumenti e processi per generare e gestire attestazioni
  • Stabilire approcci sistematici al monitoraggio e alla verifica delle dipendenze
  • Creare flussi di lavoro automatizzati per la documentazione di conformità
  • Sviluppare capacità per una rapida risposta alla sicurezza e distribuzione delle patch

Conseguenze della non conformità

La posta in gioco è alta per i fornitori di software. La non conformità può comportare:

  • Sospensione o risoluzione immediata dei contratti federali esistenti
  • Esclusione da futuri appalti
  • Potenziali sanzioni legali e finanziarie ai sensi del False Claims Act
  • Danni alla reputazione visibili attraverso i dashboard di conformità pubblici
  • Perdita di fiducia da parte dei clienti sia del governo che del settore privato
  • Maggiore controllo nei futuri processi di appalto federali

Preparazione per il successo

Per soddisfare con successo questi requisiti, le organizzazioni dovrebbero concentrarsi su:

  1. Automazione dei controlli di sicurezza e della raccolta di prove lungo l'intera pipeline di sviluppo
  2. Implementazione della firma crittografica degli artefatti di build per garantire la tracciabilità
  3. Stabilire un monitoraggio continuo della conformità con audit regolari
  4. Creazione di sistemi per la divulgazione delle vulnerabilità in tempo reale e la gestione delle patch
  5. Sviluppo di processi chiari per la gestione degli elenchi dei clienti FCEB e il monitoraggio delle versioni
  6. Sviluppo di capacità per generare attestazioni leggibili dalle macchine e riepiloghi leggibili dagli esseri umani
  7. Formazione dei team di sviluppo sui nuovi requisiti e procedure di sicurezza
  8. Stabilire relazioni con revisori terzi qualificati

Vuoi approfondire i requisiti di conformità e scoprire soluzioni pratiche? Scarica la nostra completa white paper per scoprire approfondimenti dettagliati su come soddisfare il nuovo mandato federale sulla sicurezza del software. Il white paper include requisiti tecnici specifici, strategie di implementazione, approcci di automazione della conformità e soluzioni comprovate per mantenere la conformità continua migliorando al contempo la tua postura di sicurezza complessiva.

Questo mandato rappresenta sia una sfida che un'opportunità. Mentre la conformità richiede una preparazione significativa, le organizzazioni che si adattano in modo efficace rafforzeranno la loro posizione di sicurezza e si posizioneranno in modo vantaggioso nel mercato federale. La chiave sta nel comprendere a fondo i requisiti e nell'implementare soluzioni complete e automatizzate che affrontino tutti gli aspetti del mandato mantenendo al contempo l'efficienza nel processo di sviluppo.

Banner guida

Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.

Post Correlati

Immagine delle migliori pratiche
Sicurezza della catena di fornitura del software: le 7 migliori pratiche che devi conoscere

Nel panorama digitale interconnesso di oggi, garantire la sicurezza della catena di fornitura del software è fondamentale. La catena di fornitura del software comprende tutti i processi e i componenti coinvolti nello sviluppo, nella realizzazione e nella distribuzione del software ed è sempre più presa di mira dagli attacchi informatici. Avendo lavorato con numerose aziende e sfruttando una vasta esperienza nel settore, posso condividere con sicurezza alcuni di […]

VERSIONE FINALE SSDF
Versione finale SSDF (NIST 800-218): differenze rispetto alla bozza e relative implicazioni per te

Il 22 marzo il NIST ha rilasciato la versione finale del SSDF 1.1 (Secure software development framework). Daremo un'occhiata ad alcune delle differenze tra la versione finale e la bozza precedente.

immagine di carattere
Dal caos alla chiarezza: come proteggere la catena di fornitura con le attestazioni

Poiché tutti stanno diventando sempre più consapevoli, la protezione delle catene di fornitura del software dovrebbe essere una parte vitale della strategia di sicurezza informatica di ogni organizzazione. Una delle principali difficoltà nella creazione di una strategia globale per mitigare le minacce alla catena di fornitura del software è la complessità e la diversità delle catene di fornitura. Ogni filiera è unica e gli elementi […]

Post più popolari
Comprendere e soddisfare il nuovo mandato federale sulla sicurezza del software: una guida praticaCome integrare gli SBOM nell'intero SDLCDifesa contro i recenti attacchi alla supply chain del software: lezioni e strategieAndresti in battaglia senza una mappa?
Categorie