Білий дім скасовує вимоги щодо відповідності безпеки програмного забезпечення
Нові зміни в політиці безпеки програмного забезпечення від The White House
Недавній крок The White House суттєво змінює підхід до безпеки програмного забезпечення. Офіс у справах управління та бюджету (OMB) скасував вимоги щодо дотримання безпеки, які були запроваджені ще в 2022 році. Офіційно це було озвучено в Меморандумі M-26-05, що анулює попередню політику M-22-18 та її супровідну директиву M-23-16 від 2023 року. Це рішення кардинально змінює правила гри для архітекторів підприємств та інженерів платформ, які надають послуги за федеральними контрактами або дотримуються федеральних стандартів.
Раніше директиви вимагали впровадження певних практик безпечної розробки, включаючи створення та підтримку Software Bills of Materials (SBOMs). Однак новий меморандум від директора OMB, Russell T. Vought, наголошує, що M-22-18 “накладав неперевірені та обтяжливі процеси обліку, які пріоритетом ставили дотримання правил замість реальних інвестицій у безпеку”.
Керівник стратегії управління ризиками постачання програмного забезпечення у Black Duck, Tim Mackey, зазначає, що скасування M-22-18 фактично відміняє елементи гарантії програмного забезпечення, викладені в Executive Order 14028. Залишилися лише теми Zero Trust і SBOM як важливі елементи цього указу. За словами Mackey, хоча архітектури Zero Trust і SBOMs забезпечують фундаментальну прозорість, жодна з них не є ефективною моделлю зменшення ризиків самостійно.
Суть нового керівництва полягає у децентралізації повноважень у сфері безпеки. Голови окремих агентств тепер відповідальні за визначення належного рівня безпеки для своїх середовищ. OMB стверджує, що немає універсального підходу для захисту урядових мереж, підкреслюючи важливість адаптації.
Ці зміни свідчать про переорієнтацію від жорстких і чеклістових норм до моделі, що пріоритетом ставить моделювання загроз та контексту. Агентства повинні самостійно перевіряти безпеку постачальника за допомогою принципів безпечної розробки та проведення всебічної оцінки ризиків. Це дозволяє відомствам налаштовувати свої вимоги з безпеки замість узагальнених стандартів для всього уряду.
Багато команд інженерів за останні три роки інтегрували процеси генерування SBOM та робочі процеси засвідчення у свої CI/CD-пайплайни, аби відповідати вже скасованим вимогам M-22-18. Нова директива не забороняє ці практики, але переводить їх в опційний статус. Тим не менш, зміни в політиці їх виконання викликали занепокоєння з боку експертів індустрії.
Новий меморандум вказує на зрушення від централізованих вимог до безпеки програмного забезпечення в бік прийняття рішень на основі ризиків. Для виробників програмного й апаратного забезпечення це, ймовірно, зменшить адміністративний тягар універсальної звітності, але підвищить складність управління вимогами користувачів.
