USA: szövetségi szoftver-ellátási lánc biztonság, saját kockázatra
Az USA szövetségi kormánya, Office of Management and Budget (OMB) visszavonta a korábbi, egységes szövetségi szoftver-ellátási lánc biztonsági kötelezettségeket, amelyek előírta a szoftverfejlesztési önigazolásokat és SBOM-ok (Software Bill of Materials) kötelező használatát a szövetségi ügynökségek beszerzéseiben és beszállítói értékeléseiben.
Ezeket a 2022-ben bevezetett szabályokat, beleértve az M-22-18 és M-23-16 memorandumnak nevezett irányelveket, az OMB azzal indokolta, hogy a formális dokumentációra és megfelelés-ellenőrzésre épülő megközelítés túlságosan bürokratikus volt, és nem igazán hozott kézzelfogható biztonsági javulást, miközben korlátozta az ügynökségek lehetőségét arra, hogy kockázatalapú, egyedi biztosítási követelményeket határozzanak meg saját működésükhöz.
Mostantól az ügynökségek nem kötelesek egységes, kormányzati szintű ellátási lánc-biztonsági szabályokat követni, helyette azt javasolják, hogy saját kockázatértékelésük és küldetésük alapján határozzák meg, mikor kérnek SBOM-ot vagy más biztosítási bizonyítékot egy szoftver-szállítótól. Az SBOM-ok és a fejlesztői önigazolások így opcionálissá, nem pedig kötelezővé váltak, amikor beszerzési vagy értékelési döntést hoznak a szövetségi rendszerekben.
Az új irányelv hangsúlyozza továbbá, hogy a korábbi politika nem számolt megfelelően az olyan hardver-ellátási lánc kockázatokkal, amelyek ma szintén kritikus biztonsági tényezők lehetnek, ezért az ügynökségeket arra bíztatják, hogy mind szoftver-, mind hardver-biztonsági kockázatokat integráljanak a saját biztosítási folyamataikba.
