Новости ПО под микроскопом: армия США требует полного раскрытия кода

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
США ужесточат условия безопасности цепочек поставок ПО.


wnjxycaolm2yjxpupygpmixp0zyzt4ez.jpg


К началу 2025 года Армия США Для просмотра ссылки Войди или Зарегистрируйся утвердить новые правила, требующие предоставления подробных списков компонентов для нового ПО, которое будет приобретаться или разрабатываться. Данное нововведение касается как коммерческого ПО, так и ПО с открытым исходным кодом.

После почти двух лет консультаций с представителями отрасли, главный специалист по закупкам в армии Дуг Буш подписал меморандум, предписывающий включать спецификации программного обеспечения (Software Bill of Materials, SBOM ) в большинство новых контрактов. SBOM представляет собой документ, детализирующий состав программного обеспечения, что позволяет управлять рисками в ходе поставок.

Однако новое правило не распространяется на облачные сервисы, по крайней мере, на данном этапе. Тем не менее, для большинства другого ПО, включая как разработки на заказ, так и коммерческие и открытые решения, SBOM станет обязательным.

Для просмотра ссылки Войди или Зарегистрируйся обязывает создать руководство по внедрению SBOM в течение 90 дней. Затем каждая программа будет обязана включить требования в свои контракты по закупке ПО. Меморандум был принят в рамках выполнения Для просмотра ссылки Войди или Зарегистрируйся о кибербезопасности, который среди прочего касался цепочек поставок ПО, а также в соответствии с призывами регуляторов усилить безопасность процессов разработки ПО в госучреждениях.

Процесс взаимодействия с отраслью начался в сентябре 2022 года, когда Армия США попросила компании описать свои подходы к выявлению уязвимостей в цепочках поставок, и рассказать о практике использования SBOM.

Для внедрения аттестации ПО агентство CISA выпустило форму, которую третьи стороны могут использовать для самосертификации своих продуктов по стандартам безопасной разработки.

Армия США поддерживает подход к использованию SBOM и планирует расширить его применение. Например, в конце 2023 года Армия запросила информацию о возможном создании списка материалов для алгоритмов искусственного интеллекта в рамках проекта Linchpin, но впоследствии отказалась от разработки формальной политики по вопросу.

Вместо этого планируется использовать более упрощенные «карты моделей», которые уже широко приняты в сообществе разработчиков ИИ. Карты содержат описание процессов, использованных для создания ИИ-моделей, и включают информацию о предыдущих исследованиях. Армия ожидает, что политика в отношении «карт моделей» будет опубликована в 2025 финансовом году, наряду с правилами использования SBOM для данных, которые также планируется разработать к тому времени.

Стоит отметить, что IT-компании, обслуживающие американское правительство, Для просмотра ссылки Войди или Зарегистрируйся в правила закупок, согласно которым в случае киберинцидента им придётся предоставить полный доступ к своим системам государственным агентствам США.
 
Источник новости
www.securitylab.ru

Похожие темы