Bezpieczne zgodnie z projektem Zastaw | CISA

streszczenie

Jest to dobrowolne zobowiązanie dotyczące oprogramowania i usług dla przedsiębiorstw, w tym oprogramowania lokalnego, usług w chmurze i oprogramowania jako usługi (SaaS). Zobowiązanie nie obejmuje produktów fizycznych, takich jak urządzenia IoT i produkty konsumenckie, chociaż firmy, które chcą wykazać postęp w tych obszarach, mogą to zrobić.

Uczestnicząc w tym zobowiązaniu, producenci oprogramowania zobowiązują się do podjęcia w dobrej wierze wysiłków na rzecz osiągnięcia celów wymienionych poniżej w następnym roku. Jeżeli producent oprogramowania będzie w stanie poczynić wymierne postępy w kierunku osiągnięcia celu, w ciągu roku od podpisania zobowiązania musi on publicznie udokumentować sposób, w jaki osiągnął ten postęp. Jeżeli producent oprogramowania nie jest w stanie poczynić wymiernych postępów, zachęca się go, aby w ciągu roku od podpisania zobowiązania podzielił się z CISA informacjami o swoich pracach nad osiągnięciem celu i wszelkich stojących przed nim wyzwaniach. W duchu radykalnej przejrzystości zachęca się producenta do publicznego dokumentowania swojego podejścia, aby inni mogli się czegoś nauczyć. Zobowiązanie to jest dobrowolne i niewiążące prawnie.

Zbiórka składa się z siedmiu celów. Każdy cel zawiera kluczowe punkty odniesienia, do których zobowiązują się producenci, a także kontekst i przykłady osiągnięcia celu i wykazania wymiernego postępu. Aby umożliwić różnorodne podejścia, producenci oprogramowania uczestniczący w Zobowiązaniu mają swobodę określenia, w jaki sposób mogą najlepiej spełnić i wykazać podstawowe kryteria każdego celu. Wykazywanie wymiernych postępów w zakresie produktów producenta może przybierać różne formy – np. podjęcie działań w odniesieniu do wszystkich produktów producenta lub wybranie grupy produktów, którymi należy się zająć w pierwszej kolejności, i opublikowanie planu działania dla innych produktów.

CISA docenia i pochwala producentów oprogramowania, którzy osiągnęli już te cele lub je przekroczyli. W takim przypadku, gdy producent oprogramowania faktycznie osiąga lub przekracza wartość docelową, musi publicznie opisać, w jaki sposób to robi. W takich przypadkach CISA z zadowoleniem przyjmuje dodatkowe wysiłki mające na celu przekroczenie celów określonych w zobowiązaniu.

To zobowiązanie ma na celu uzupełnienie i rozwinięcie istniejących najlepszych praktyk w zakresie bezpieczeństwa oprogramowania, w tym opracowanych przez CISA, NIST i inne agencje federalne, a także najlepszych praktyk międzynarodowych i branżowych. CISA w dalszym ciągu wspiera przyjęcie środków uzupełniających, które poprawiają bezpieczeństwo od samego początku.