2024-03-22 15:57:50
Le CISA a publié un formulaire qui identifie les exigences minimales de développement de logiciels sécurisés pour les organisations qui produisent des logiciels pour le gouvernement. L’attestation détaille les mesures de sécurité supplémentaires que les fournisseurs de logiciels doivent respecter pendant le processus de développement. Il s’agit de garantir que les logiciels utilisés par le gouvernement sont créés dans un environnement sécurisé et vérifiés pour détecter les vulnérabilités. De plus, l’attestation met en œuvre une politique obligeant les développeurs à divulguer les vulnérabilités connues.
Les responsables de la sécurité interviennent
Dr Harry Wang, vice-président des partenariats stratégiques chez Sonar
« Lundi, la CISA et l’Office of Management and Budget (OMB) ont publié un formulaire d’attestation de développement de logiciels sécurisé, une nouvelle exigence pour les fournisseurs de logiciels du gouvernement. Le formulaire, qui devrait être disponible ce mois-ci, garantit essentiellement que ces entreprises développent leurs logiciels dans des environnements sécurisés. Des environnements de production et de développement séparés, une meilleure qualité de code, une authentification multifacteur renforcée, un cryptage et, surtout, une surveillance/test continus du code : autant de moyens par lesquels les entreprises peuvent garantir une meilleure sécurité de leurs logiciels.
«Cette annonce fait suite au mandat de la Maison Blanche pour l’utilisation de langages de programmation sécurisés en mémoire le mois dernier, ainsi qu’au Cybersecurity Framework 2.0 du NIST, qui proposent tous des mesures pour une meilleure sécurité des logiciels. Cela souligne les problèmes fondamentaux créés par un mauvais code logiciel et, par conséquent, le besoin critique d’améliorer les normes, les processus et les mesures dans le cycle de vie du développement logiciel (SDLC). D’après ce que nous avons vu dans les données de télémétrie de Sonar, il y a en moyenne un problème toutes les 27 lignes de code. Pour les entreprises disposant de millions de lignes de code, cela représente des dizaines de milliers d’expositions aux vulnérabilités, aux risques et à la dette d’ingénierie. Ensemble, ces nouvelles réglementations constituent un appel continu à une approche proactive pour remédier aux vulnérabilités des logiciels, y compris au niveau du code source.
En adoptant un environnement de production plus sécurisé, des langages de programmation sécurisés en mémoire, des principes Clean Code et une analyse continue de la qualité du code pour réduire la dette technologique, les développeurs peuvent prévenir les incidents de sécurité, réduire les expositions aux risques et améliorer la disponibilité de leurs applications. Cela devient de plus en plus important car nous nous attendons à ce que le volume de code produit augmente avec l’utilisation et l’innovation des assistants de code IA. En tant que communauté technologique, une plus grande responsabilité à l’égard des logiciels que nous mettons en production – en particulier du code sur lequel les logiciels sont construits – profitera à tous.
Tim Mackey, responsable de la stratégie de risque de la chaîne d’approvisionnement logicielle chez Synopsys Software Integrity Group
« Comme la plupart des exigences gouvernementales, et le formulaire d’auto-attestation est une exigence, il existe des sanctions en cas de non-conformité. Le formulaire doit être signé par une personne au sein de l’équipe de direction du fournisseur de logiciels, potentiellement le PDG, et les fausses déclarations sont punies en vertu de la loi 18 USC § 1001, qui couvre les fausses déclarations faites au gouvernement américain. Cela signifie que tout producteur de logiciels qui pourrait être tenté de répondre simplement « oui » à toutes les questions devrait y réfléchir à deux fois avant de le faire.
Évidemment, si vous devez attester des pratiques de développement de logiciels, il est utile que ces pratiques soient bien connues et bien comprises. C’est là que le formulaire d’auto-attestation facilite la vie, car les fournisseurs de logiciels sont censés suivre un sous-ensemble des activités du NIST Secure Software Development Framework (SSDF)…
Pour les entreprises qui recherchent une autorisation FedRAMP, le formulaire d’auto-attestation permet à un évaluateur FedRAMP 3PAO de fournir une attestation indépendante qui peut être utilisée à la place de l’auto-attestation.
Mais qu’en est-il de toutes ces entreprises dont les logiciels sont utilisés au sein du gouvernement américain mais ne sont pas autorisés par FedRAMP ? Certains pourraient penser que le risque de commettre une erreur en faisant une auto-attestation n’en vaut pas la peine. Étant donné qu’il existe bien plus que les 328 applications autorisées par FedRAMP en cours d’exécution au sein du gouvernement américain, un processus d’attestation fiable doit exister. Idéalement, il devrait déterminer si les politiques d’entreprise régissant le développement de logiciels sont systématiquement suivies par les équipes de développement.
#CISA #publie #formulaire #dattestation #développement #logiciel #sécurisé
1711116006
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/P22C2UAL3DLZ3THOIG6PQTRKWI.jpg?fit=300%2C300&ssl=1)