Como assinar o novo formulário de autoatestado CISA e ainda dormir bem à noite

A adoção das melhores práticas de segurança da cadeia de fornecimento de software está atualmente em um momento decisivo, semelhante à publicação dos requisitos de conformidade do PCI em 2006. Assim como então, o novo regulamento está adicionando requisitos significativos da liderança da empresa, neste caso, para atestar a segurança de seu software e os meios exatos usados ​​para alcançá-lo.

O Formulário de Atestado de Desenvolvimento de Software Seguro proposto, embora ainda em versão final, apresentado pelo DHS – CISA a pedido do memorando M-23-16 do OMB e anteriormente no memorando M-22-18, é uma obrigação com importância significativa. passivos que o acompanham. Requer a assinatura da liderança da empresa, garantindo o cumprimento dos requisitos do formulário. Há uma expectativa expressa de que essa(s) pessoa(s) seja(m) capaz(s) de respaldar sua assinatura com as evidências apropriadas caso ocorra um ataque à cadeia de fornecimento de software. 

As quatro cláusulas do formulário cobrem uma ampla gama de requisitos, mas não oferecem orientação sobre como cumpri-los. A grande variedade de pilhas de tecnologia, ambientes de nuvem, ferramentas de CI/CD e configurações encontradas no setor dificultam a coleta de todas as diversas evidências exigidas no formulário.

Além disso, há a questão do tempo de verificação. A menos que a empresa recolha continuamente provas, pouco poderá fazer para provar que estava a seguir as melhores práticas assinadas. 

A coleta automática e contínua de evidências de maneira confiável e a verificação constante das políticas SDLC que a empresa definiu e assinou é a maneira certa de provar que os requisitos do formulário foram seguidos.   

Obtenha este documento técnico para explorar como o Scribe pode ajudá-lo a coletar e assinar automaticamente evidências como prova para construir confiança no software. 

Aconselhamos sobre o que deve fazer parte das evidências exigidas, incluindo arquivos de log, capturas de tela, arquivos de configuração e assim por diante. Sabemos como coletar evidências de ferramentas de terceiros e incluí-las com o restante das evidências para SDLC e construir pipelines. Ajudamos a transformar essas evidências em atestados irrefutáveis ​​e imutáveis ​​que são salvos em um armazenamento seguro.

Essas evidências podem servir como atestados válidos para conformidade com SLSA ou SSDF. Cada empresa pode personalizar suas próprias políticas com base no modelo sign-verify.

A plataforma Scribe inclui todas as evidências coletadas de forma fácil de consultar e segmentar. Pode-se examinar a visão agregada do SBOM de todas as compilações e produtos, um relatório completo de componentes desatualizados, um relatório abrangente de vulnerabilidades (que inclui um Pontuação CVSS e um Probabilidade EPSS) e um relatório de reputação da biblioteca baseado no Pontuação do OpenSSF projeto.

Todos os Recursos

Últimos Recursos

Howard Holton, da GigaOm, se reúne com Doron Peri, vice-presidente de produto da Scribe Security para discutir a cadeia de suprimentos de software e outras questões na Blackhat
Assista à gravação do nosso painel Balck Hat 2024, “From Trust to Evidence-Based Continuous Assurance: The Future of Security Governance and Compliance”. Ele gerou grande…