Revenera weist Software-Anbieter auf Executive Order hin US-Dekret zu Sicherheit von Software-Lieferketten

Redakteur: Stephan Augsten

Für US-Regierungsbehörden gelten seit Mai 2021 spezielle Richtlinien, die sich unmittelbar auf Software-Anbieter und -Entwickler auswirken. Eine Software-Stückliste mit verwendeten Komponenten wird dabei ebenso verpflichtend wie ein automatisiertes Schwachstellen-Management.

Firmen zum Thema

Für Software-Anbieter, die von US-Behörden berücksichtigt werden wollen, gelten künftig strengere Richtlinien hinsichtlich der Software Supply Chain.
Für Software-Anbieter, die von US-Behörden berücksichtigt werden wollen, gelten künftig strengere Richtlinien hinsichtlich der Software Supply Chain.
(© littlewolf1989 - stock.adobe.com)

Wollen Unternehmen ihre Software-Lösungen an die US-Regierung verkaufen, müssen sie zukünftig konkrete Anforderungen erfüllen. Dies berichtet Revenera mit Blick auf eine Executive Order der US-Regierung vom 12. Mai 2021. Entsprechende Anbieter sind verpflichtet, eine eigene Software Bill of Materials (SBOM) für jedes Produkt bereitzustellen, entweder direkt an den Käufer oder über eine Plattform oder Website.

Code-Integrität und Vertrauenswürdigkeit der Lieferketten sind mithilfe automatisierter Tools und Prozesse sicherzustellen Gleiches gilt für das Schwachstellen-Management. Darüber hinaus sind Software-Anbieter dazu verpflichtet, an einem Programm zur Offenlegung von Sicherheitslücken teilzunehmen, das einen Melde- und Offenlegungsprozess beinhaltet.

Die Software-Stückliste muss genaue und aktuelle Daten (einschließlich Herkunft) zu Code und Software-Komponenten beinhalten. Aber auch die anderen Pinkte müssen genauestens dokumentiert werden: von den Kontrollen für interne und externe Softwarekomponenten bis hin zu den Tools und Diensten, die im Softwareentwicklungsprozess zum Einsatz kommen.

Regelmäßig durchgeführte Audits sowie unternehmensweite Durchsetzung aller Maßnahmen gehören ebenfalls zu den Pflichten. Software Composition Analysis (SCA) und Software BOM gewönnen damit an Priorität, mahnt Nicole Segerer, VP of Product Management & Marketing bei Revenera: „Anbieter benötigen umfassenden Einblick in ihre Anwendungen. Sie müssen verstehen, woher ihre Komponenten kommen, wo sie eingesetzt werden und wer für potenzielle Sicherheits- und Compliance-Risiken verantwortlich ist.“

Revenera hat einige Best Practices zusammengestellt, die Softwareanbieter und Entwickler bei der Nutzung von Open Source Software berücksichtigen sollten

  • Erstellen Sie für jede Anwendung eine vollständige und aktuelle Software BOM über alle eingesetzten Komponenten (OSS und Dritt-Anbieter), einschließlich ihrer Abhängigkeiten. Dazu gehören auch Produkte, die lediglich gehostet und nicht an Kunden weitergegeben werden.
  • Implementieren Sie Prozesse, um bekannte und neu gemeldete Sicherheitslücken in Open Source-Komponenten innerhalb von Anwendungen zu identifizieren und zu beseitigen.
  • Führen Sie eine kontinuierliche, automatisierte Software Composition Analyse durch, die es Entwicklerteams ermöglicht, Schwachstellen frühzeitig im SDLC zu identifizieren und zu beheben.
  • Schärfen Sie das Sicherheitsbewusstsein Ihrer Teams im Umgang mit Open Source über Trainings und Management-Schulungen, den Zugang zu Ressourcen und im Austausch mit der Open Source-Community.
  • Setzen sie Open Source Compliance- und Sicherheitsrichtlinien konsequent und abteilungsübergreifend durch. Dezidierte Teams in Form eines Open Source Program Office (OSPOs) und/oder einem Open Source Review Boards (OSRBs) helfen, eine ganzheitliche Open Source-Strategie zu entwickeln und zu implementieren

(ID:47472217)