「制御され保証されたオリジン」ソフトウェアに向けて。 彼らは私たちをより安全にするのに十分でしょうか？

バイデン大統領は、ソフトウェアの安全ラベル付けと、それを構成する成分のリストの消費者への連絡を命じます。 目的は、製品の原産地、真正性、安全性を証明することです。 大統領命令「国家のサイバーセキュリティの改善」が昨年XNUMX月に発行され、ここ数週間、最初の技術的組織的対応が連邦政府機関および産学界から届き始めました。

最後に、そうです。 

あまりにも多くのセキュリティホール、何年にもわたって楽な時間を過ごしてきた悪意のある俳優が多すぎます。 実際、今後は、優れた開発とテストの実践に従って、ソフトウェアが安全な環境で作成されたことを実証するために、実証済みのトレース手順を設定する必要があります。 また、ソースコードの出所を説明し、標準化されたアーティファクトで確認する必要があります。 そして最後に、ユーザーは使用条件を確認する必要がなくなりますが、安全ラベルとSBOM（ソフトウェア部品表）（コンポーネントとその出所をリストした部品表）を追加します。

つまり、ソフトウェアを購入するのは、新しい洗濯機を購入する場合と非常によく似ています。エネルギーラベルをチェックして、電力消費や騒音公害をチェックするように注意してください。 または、スーパーマーケットの通路を歩き回るときと同様に、カロリーが少なく、アレルゲンがない、最も健康的で最も本物のXNUMXkmのものを探すためにビスケットの材料のテーブルをチェックすることに専念します。 または、レストランで高品質のワインを探しているときは、マークの付いたものではなく、DOCのボトルをリクエストします。 Denominazione di Origine Controllat​​a e Garantita.

しかし、順番に進んで、何が起こっているのかを理解してみましょう。 そして特にそれが本当に十分であるならば。

ここ数ヶ月、XNUMXつの構造的イニシアチブがアメリカ政府によって開始されました。XNUMXつはソフトウェアサプライチェーンの保護を目的としたものです。 XNUMXつ目は、産業用制御システムの技術環境を、ITシステムで現在達成されているレベルと少なくとも同等のサイバーセキュリティレベルにすることを目的としたものです。

ソフトウェアサプライチェーンは現在、非常に開発され、広く配布されているため、「ソフトウェアを作成する人」と言えます。 そして、「誰でも」の概念には、「不確定」の関連するものがあります。これは、今日、ほとんどのコンピュータインシデントの基礎となる主要な脆弱性を構成しています。使用するソフトウェアの作成者が正確に誰であるかがわからないだけでなく、引き起こされた損害または実際の危険への暴露について、民事、刑事および行政上の責任を追跡することができます。 しかし、この誰かが誠意を持って行動したとしても、製品を安全に開発およびテストするためのリソース、構造、操作技術、および改ざんを防止する適切な制御を備えているかどうかさえわかりません。

そして、これはすべて、一般的にすべてのソフトウェアに有効である場合、いわゆる重要なソフトウェア、つまりシステム管理者の特権を管理および検証するために必要なものなど、保証およびセキュリティ機能を実行するソフトウェアのカテゴリに決定的な価値をもたらします。または、マシンまたはネットワークリソースへの直接アクセスを許可します。

したがって、実施されている戦略は、反復可能で検証可能なプロセスを使用して、これらのXNUMXつの側面（作成者、安全性、および真正性）を保証しようとします。 方法を見てみましょう。

ソフトウェアは、後でテストされる環境、および完全に機能している場合に使用される環境に関して区分化された開発環境で作成されることが期待され始めます。 そして消費者への情報は、この環境分離を確実にするために使用される安全手順の証拠を提供しなければなりません。 次に、ソフトウェアの開発に使用されたソースコードの出所と整合性の検証、および脆弱性と関連する救済策の継続的な検索の両方を可能にする自動化を採用する必要があります。 また、これもユーザーへの情報で確認する必要があり、評価および軽減されたリスクの簡単な説明を示すことを忘れないでください。

また、社内で開発されていないソースコードまたはソフトウェアコンポーネントの出所に関連するデータのタイムリーなインベントリを保持する必要があります。また、ソフトウェアコンポーネント、サービス、および開発ツールに対して実装された制御と監査は、内部およびサードパーティ。出発。 可能な限り、製品の任意の部分で使用されるオープンソースソフトウェアの完全性と出所を証明することが義務付けられます。 最後に、ソフトウェア製品で検出された脆弱性を時間内に開示できる内部統制システムが整っていることを実証する必要があります。

上記の措置が完了または完了すると、消費者向けの安全ラベルと部品表を作成する必要があります。

これらすべてが、ソフトウェアの出所、完全性、およびセキュリティの追跡を大幅に改善するだけでなく、実装コスト、したがって一般の人々への価格の大幅な増加につながることが期待されます。

しかし、現在の大衆文化を特徴付けるデジタルデバイドを持ち、「ひびの入った」ソフトウェアをWebから無料でダウンロードすることに慣れている一般人は、この種の安全なソフトウェアを購入するために大幅に異なる金額を費やすことをいとわないでしょうか。 私たちは、ソフトウェアサプライチェーンのセキュリティと連携して、それらのソフトウェアの必要性を感じる人々の間でデジタル衛生の新しい認識を生み出すために行動するように、並行して行動する必要があります。

オラツィオ・ダニーロ・ルッソ、カルロ・マウセリ

_{もっと知ることができます。}

_{https://www.federalregister.gov/documents/2021/05/17/2021-10460/improvin...}

_{https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/...}

_{https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity...}