Levando a segurança da cadeia de fornecimento de software para o próximo nível com o mais recente memorando do OMB

Todas as mensagens

A cadeia global de fornecimento de software está sempre sob ameaça de criminosos cibernéticos que ameaçam roubar informações confidenciais ou propriedade intelectual e comprometer a integridade do sistema. Estas questões podem afectar as empresas comerciais, bem como a capacidade do governo de prestar serviços ao público de forma segura e fiável. 

O Escritório de Gestão e Orçamento dos Estados Unidos (OMB) publicou em julho de 2022 um memorando sobre o assunto, que abordamos aqui em detalhe. Em Setembro de 2022, foi divulgado um novo memorando, desta vez centrado na segurança e integridade da cadeia de fornecimento de software, sublinhando o papel significativo dos SBOMs. Apresenta uma lista de requisitos precisos e – pela primeira vez – partilha um calendário vinculativo real para a implementação de mudanças. 

O memorando contém dois pontos principais relacionados à Ordem Executiva (EO) 14028, Melhorando a Segurança Cibernética da Nação:

  • O EO orienta o Instituto Nacional de Padrões e Tecnologia (NIST) a compartilhar orientações para o desenvolvimento de práticas destinadas a aumentar a segurança da cadeia de fornecimento de software. Para ajudar a conseguir isso, o NIST lançou dois documentos: o Secure Software Development Framework (SSDF), SP 800-218 e Orientação de segurança da cadeia de suprimentos de software. Juntos, eles são chamados de Orientação NIST e descrevem um conjunto de práticas que constituem a base para a criação de software seguro. 
  • O EO também orienta o Escritório de Gestão e Orçamento a começar a exigir que as agências se alinhem com as Orientações do NIST e quaisquer outras atualizações. 

A autocertificação é um pré-requisito, mas é tudo?

Os produtores de software agora são obrigados a fornecer às agências um autoatestado antes de começarem a usar seu software. Na verdade, existem três categorias que exigem autoatestado: novas compras de software, atualizações de versões principais e renovações de software. O objetivo é equipar as agências com produtos de software seguros e resilientes que as protejam contra ameaças como as que SolarWinds vivenciado, o que comprometeu diversas agências. 

Vamos começar com o básico: o que exatamente é auto-atestado? 

O autoatestado é um documento que funciona como uma declaração de conformidade, atestando que o produtor de software cumpre as práticas das Diretrizes do NIST. A ideia é que as agências obtenham auto-atestado para cada produto ou serviço de software de terceiros que se enquadre nos requisitos do memorando. Isso inclui renovações de software e atualizações de versões principais.

Outro ponto importante do memorando é que as agências incentivem as empresas de software a incluir produtos. Isso lhes permitiria fornecer o mesmo atestado a todas as agências de compras.

A agência poderá reter o documento de autocertificação, a menos que a empresa de software o publique publicamente e ofereça um link para a publicação em sua proposta. 

Nota: Embora todos os outros memorandos ou diretrizes até o momento afirmem que a auto-certificação é boa o suficiente para começar, este estabelece a confiança e a transparência como os principais objetivos. Ele se concentra especificamente na cadeia de fornecimento de software, não apenas na segurança cibernética ou no SSDF (mesmo que façam parte dela).

O que acontece se a empresa de software não puder fornecer autoatestado no formato padrão?

Um produtor de software pode não ser capaz de atestar uma ou mais práticas da Orientação do NIST, conforme identificadas no formulário padrão de autocertificação. Neste caso, o órgão solicitante do software exigirá que a empresa:

  • Identifique as práticas que eles não podem atestar 
  • Documente todas as práticas em uso para mitigar esses riscos 
  • Desenvolva um Plano de Ação e Marcos (POA&M) 

Naturalmente, a agência deve garantir que a documentação não seja publicada publicamente (pelo fornecedor ou pela própria agência).

Suponha que o fornecedor forneça toda a documentação e ela seja satisfatória para a agência. Nesse caso, estes últimos podem utilizar os produtos ou serviços de software apesar da falta de um auto-atestado completo por parte do produtor.

O que um autoatestado aceitável precisa incluir?

Um documento de autocertificação deve incluir os seguintes requisitos mínimos: 

  • O nome da empresa de software
  • Uma descrição dos produtos de software aos quais a declaração se refere (idealmente, este ponto descreve a empresa de software ou o nível da linha de produtos, incluindo todos os produtos não classificados oferecidos às agências)
  • Uma declaração confirmando que o fornecedor opera de acordo com práticas e tarefas de desenvolvimento seguras (descritas no formulário de auto-atestado)

Este tipo de autoatestado é o nível mínimo exigido. Ainda assim, se as agências desejarem adquirir software sem ele - por exemplo, devido à sua criticidade - poderão realizar determinações baseadas no risco com a ajuda de uma avaliação de terceiros (definida em M-21-30). 

Ainda assim, a directiva incentiva as agências a utilizarem um formulário normalizado de autocertificação. O Conselho Federal de Regulamentação de Aquisições (FAR) proporá a regulamentação em torno do uso de tal formulário de autocertificação padrão e uniforme. 

Auto-atestado para software de código aberto

Suponha que a agência deseje adquirir software de código aberto ou um produto de software que inclua componentes de código aberto. Nesse caso, pode recorrer a uma avaliação de terceiros fornecida por uma organização certificada de avaliadores terceirizados do FedRAMP (3PAO) ou aprovada pela própria agência.

Tal avaliação é aceitável no lugar do autoatestado de um fornecedor, desde que o 3PAO use a Orientação do NIST como linha de base. 

Os SBOMs estão se tornando um padrão da indústria. você está pronto para isto?

Uma imagem de padrões

Embora o autoatestado seja o nível mínimo exigido, as agências podem não precisar dele se o produto ou serviço que desejam obter for crítico e não puderem fornecer o autoatestado em um formulário padrão.

O importante é que o memorando incentive as agências a obter artefatos de fornecedores que demonstrem sua conformidade com práticas seguras de desenvolvimento de software. Uma dessas práticas inclui ter um SBOM. 

O que é um SBOM e como funciona?

SBOM refere-se a uma lista de materiais de software, um inventário de todos os componentes e dependências que fazem parte do desenvolvimento e entrega de um produto de software.

Uma agência pode exigir um SBOM como parte dos requisitos de solicitação, dependendo da criticidade do software para a agência. 

O memorando inclui as seguintes diretrizes para a aquisição e uso do SBOM pelas agências:

  • A agência pode reter o SBOM, a menos que o produtor de software o publique e compartilhe um link para ele com a agência. 
  • SBOMs precisam ser gerados usando um dos formatos de dados definidos no Relatório da NTIA “Os Elementos Mínimos para uma Lista de Materiais de Software (SBOM)” ou orientação sucessora publicada pelo Agência de segurança cibernética e segurança de infraestrutura
  • Ao considerar os SBOMs, as agências devem levar em conta a reciprocidade do SBOM e de outros artefatos de produtores de software mantidos por outras agências. Isso se baseia na aplicabilidade direta e na atualidade do artefato. 
  • A agência pode exigir outros artefatos além do SBOM, se necessário – por exemplo, aqueles relacionados a ferramentas e processos automatizados para validar a integridade do código-fonte ou realizar verificações de vulnerabilidades.
  • A agência também pode exigir que a empresa de software apresente provas de que participa de um Programa de Divulgação de Vulnerabilidade.

O memorando também sugere que as agências informem os fornecedores sobre esses requisitos o mais cedo possível no processo de aquisição. Para cumprir a Ordem e as orientações do NIST, as agências precisam planejar adequadamente e incluir todos os requisitos em seu processo de avaliação de software. Observe que isso também deve estar de acordo com o cronograma especificado no memorando (isso será abordado na próxima seção).

As agências devem especificar os requisitos na Solicitação de Proposta (RFP) ou em outros documentos de solicitação. A ideia aqui é que a agência garanta que o fornecedor implemente e use práticas seguras de desenvolvimento de software em linha com as orientações do NIST durante todo o ciclo de vida de desenvolvimento de software.

O SBOM é claramente uma prática recomendada do setor no caminho para uma ampla utilização, especialmente para mitigar riscos da cadeia de fornecimento de software

Para ajudar as empresas a construir confiança nos seus produtos de software, lançámos recentemente uma plataforma fácil de usar que ajuda a gerar SBOMs e a partilhá-los dentro e entre organizações. Dê-lhe uma tentativa gratuitamente para ver como pode ser fácil gerar, gerenciar e compartilhar SBOMs.

Não é mais apenas uma recomendação; agora há um cronograma obrigatório a seguir

As agências precisam cumprir os requisitos do memorando de acordo com este cronograma:

  • Agências têm 90 dias para inventariar todos os seus softwares de terceiros, incluindo um inventário separado para “software crítico”. 
  • Dentro 120 dias , eles precisam criar “um processo consistente para comunicar os requisitos relevantes deste memorando aos fornecedores e garantir que as cartas de atestado não publicadas publicamente pelos fornecedores de software sejam coletadas em um sistema de agência central”. 
  • Eles também tem 270 dias para coletar cartas de atestado que não foram publicadas publicamente para “software crítico”. Dentro de um ano, as agências deverão ter coletado as cartas de todos os softwares de terceiros.
  • Finalmente, dentro 180 dias da data do memorando (14 de setembro de 2022), os CIOs das agências precisam ter avaliado quaisquer necessidades de treinamento e desenvolvido planos de treinamento para revisar e validar os documentos e artefatos de atestado. 

As agências podem solicitar uma prorrogação pelo menos 30 dias antes de qualquer prazo relevante indicado no memorando, juntamente com um plano para atender aos requisitos pendentes. Também é possível solicitar uma isenção, mas apenas em circunstâncias excepcionais e por um período limitado.

Resumo

O OMB compartilhará instruções específicas para o envio de solicitações de isenções ou prorrogações no prazo de 90 dias a partir da data do memorando (até meados de dezembro de 2022). Além disso, em consulta com a CISA e a Administração de Serviços Gerais, determinará os requisitos para um “repositório centralizado para atestados e artefactos de software” com os mecanismos adequados para protecção e partilha entre agências. 

Esse local central poderá algum dia se tornar um local central para uma variedade de evidências e atestados de segurança além do formulário de autoatestado ou SBOM. Colocar todas as evidências em um local único e compartilhável ajuda as organizações a lidar com problemas compartilhados, como novas explorações emergentes ou CVEs. 

É exatamente disso que se trata o Scribe. Dê uma olhada esta página para saber mais sobre nossa plataforma abrangente para gerar, gerenciar e compartilhar SBOMs dentro e entre organizações. 

Bandeira

Este conteúdo é oferecido a você pela Scribe Security, um fornecedor líder de soluções de segurança de cadeia de suprimentos de software ponta a ponta – fornecendo segurança de última geração para artefatos de código e processos de desenvolvimento e entrega de código em todas as cadeias de suprimentos de software. Saiba mais.