Die neue Cybersecurity Executive Order 2021 – das Jahr der SBOM
Bereits im Februar veröffentlichte Revenera einen Blog mit dem Titel „2021 wird das Jahr der automatisierten Software-Stückliste“, in dem die Cybersecurity Executive Order 2021 thematisiert wurde. Diese Vorhersage ist durch eine von Präsident Biden unterzeichnete Durchführungsverordnung der Realität ein ganzes Stück näher gekommen. Die Anordnung, die sich auf die Cybersicherheit konzentriert, enthält neue Sicherheitsanforderungen für Softwareanbieter, die Software an die US-Regierung verkaufen. Einige der spezifischen Anforderungen in der Anordnung umfassen:
- Bereitstellung einer Software-Stückliste (Software Bill of Materials, SBOM) für jedes Produkt entweder direkt oder auf anderem Wege, z. B. über eine Website
- Einsatz automatisierter Tools oder Prozesse zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten und zur Gewährleistung der Code-Integrität
- Verwendung automatisierter Tools und Prozesse zur Prüfung auf bekannte und unbekannte Schwachstellen für die Behebung
- Teilnahme an einem Programm zur Offenlegung von Schwachstellen, das einen Melde- und Offenlegungsprozess umfasst
- Pflege genauer und aktueller Daten und Kontrollen zu internen und externen Softwarekomponenten, Tools und Diensten, die im Softwareentwicklungsprozess vorhanden sind
- Durchführung von Audits und Durchsetzung dieser Kontrollen auf wiederkehrender Basis
Unternehmen, die diese Standards nicht einhalten, dürfen keine Software an die Bundesregierung verkaufen.
Was bedeutet das alles für Sie? Den vollständigen Artikel finden Sie hier