La seguridad de la cadena de suministro sigue recibiendo una atención crítica en el ámbito de la ciberseguridad, y con razón: incidentes como Vientos solares, Log4j, microsofty Okta Los ataques a la cadena de suministro de software continúan afectando tanto a los principales proveedores de software propietario como a los componentes de software de código abierto ampliamente utilizados.
La preocupación es mundial. Las regulaciones y los requisitos están evolucionando en todo el mundo a medida que los gobiernos buscan mitigar los riesgos de los ataques a la cadena de suministro de software, y temas como la seguridad por diseño, el desarrollo de software seguro, la responsabilidad y las autocertificaciones del software y las certificaciones de terceros dominan el diálogo. .
Los proveedores de software necesitarán cada vez más estar familiarizados con los requisitos a medida que evolucione el panorama. Dado que los atacantes buscan explotar proveedores de software ampliamente utilizados, estos requisitos tienen como objetivo ayudar a mitigar el riesgo para los gobiernos y naciones de todo el mundo de los ataques a la cadena de suministro de software.
Desde naciones que producen requisitos nacionales de software seguro hasta esfuerzos globales destinados a mitigar los peligros de representar un enfoque internacional, a continuación se presentan algunas de las iniciativas y programas más notables destinados a proteger la cadena de suministro de software.
Estados Unidos
La orden ejecutiva cibernética
Gran parte de la orientación y los requisitos de seguridad de la cadena de suministro de software de EE. UU. se remontan a la Orden Ejecutiva (EO) 14028 «Orden ejecutiva para mejorar la ciberseguridad del país«. Si bien la EO en sí no creó muchos de los requisitos asociados, estableció las pautas detrás de la mayoría de ellos. La Sección 4 en particular se centra en «mejorar la seguridad de la cadena de suministro de software» y establece los requisitos para el Instituto Nacional de Estándares y Tecnología ( NIST), la Oficina de Gestión y Presupuesto (OMB), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y otros.
OMB 22-18 y 23-16
Según Cyber EO, la Oficina de Gestión y Presupuesto (OMB) emitió dos memorandos, 22-18 y 23-16 cada uno de los cuales se centra en la seguridad de la cadena de suministro de software y comienza a exigir requisitos tales como todo que los proveedores de software que venden al gobierno federal de EE. UU. comiencen a certificar por sí mismos que siguen prácticas seguras de desarrollo de software, como el Marco de desarrollo de software seguro (SSDF) del NIST. También exige el uso de SBOM en algunos casos, e incluso el uso de una organización de evaluación de terceros si una agencia justifica el riesgo es lo suficientemente significativo.