ПО под микроскопом: армия США требует полного раскрытия кода
США ужесточат условия безопасности цепочек поставок ПО.
К началу 2025 года Армия США планирует утвердить новые правила, требующие предоставления подробных списков компонентов для нового ПО, которое будет приобретаться или разрабатываться. Данное нововведение касается как коммерческого ПО, так и ПО с открытым исходным кодом.
После почти двух лет консультаций с представителями отрасли, главный специалист по закупкам в армии Дуг Буш подписал меморандум, предписывающий включать спецификации программного обеспечения (Software Bill of Materials, SBOM) в большинство новых контрактов. SBOM представляет собой документ, детализирующий состав программного обеспечения, что позволяет управлять рисками в ходе поставок.
Однако новое правило не распространяется на облачные сервисы, по крайней мере, на данном этапе. Тем не менее, для большинства другого ПО, включая как разработки на заказ, так и коммерческие и открытые решения, SBOM станет обязательным.
Меморандум обязывает создать руководство по внедрению SBOM в течение 90 дней. Затем каждая программа будет обязана включить требования в свои контракты по закупке ПО. Меморандум был принят в рамках выполнения указа президента Джо Байдена от 2021 года о кибербезопасности, который среди прочего касался цепочек поставок ПО, а также в соответствии с призывами регуляторов усилить безопасность процессов разработки ПО в госучреждениях.
Процесс взаимодействия с отраслью начался в сентябре 2022 года, когда Армия США попросила компании описать свои подходы к выявлению уязвимостей в цепочках поставок, и рассказать о практике использования SBOM.
Для внедрения аттестации ПО агентство CISA выпустило форму, которую третьи стороны могут использовать для самосертификации своих продуктов по стандартам безопасной разработки.
Армия США поддерживает подход к использованию SBOM и планирует расширить его применение. Например, в конце 2023 года Армия запросила информацию о возможном создании списка материалов для алгоритмов искусственного интеллекта в рамках проекта Linchpin, но впоследствии отказалась от разработки формальной политики по вопросу.
Вместо этого планируется использовать более упрощенные «карты моделей», которые уже широко приняты в сообществе разработчиков ИИ. Карты содержат описание процессов, использованных для создания ИИ-моделей, и включают информацию о предыдущих исследованиях. Армия ожидает, что политика в отношении «карт моделей» будет опубликована в 2025 финансовом году, наряду с правилами использования SBOM для данных, которые также планируется разработать к тому времени.
Стоит отметить, что IT-компании, обслуживающие американское правительство, выразили недовольство предложенными изменениями в правила закупок, согласно которым в случае киберинцидента им придётся предоставить полный доступ к своим системам государственным агентствам США.