Um framework para software seguro – gcn arthritis foundation jingle bell run

Ross: começamos a trabalhar nisso há um ano. E, como podem imaginar, grande parte do trabalho foi motivado pelo que vimos na Europa, com o ato de cibersegurança da UE e com a discussão sobre o dever de cuidado do software. Muitos de nossos membros queriam se envolver de forma proativa no desenvolvimento de certas certificações, regulamentações ou o que quer que seja em relação à segurança de software para garantir que os padrões sejam criados em torno de coisas que identificamos como práticas recomendadas do setor.

Ross: Acho que o principal público-alvo são os formuladores de políticas e os clientes, mas também queremos que isso seja significativo para os desenvolvedores de software. Nós fornecemos um mapa mental das considerações sobre as quais os desenvolvedores de software deveriam, pelo menos, estar pensando – e eles terão que ir mais fundo do que estamos fornecendo neste framework para realmente entender como lidar com todas essas coisas.

Portanto, não estamos definindo um roteiro sobre como desenvolver software com segurança. Mas pelo menos pretende fornecer indicadores úteis para essa comunidade e formuladores de políticas.

Ross: Acho que estamos vendo esforços bem planejados aqui nos EUA e em todo o mundo. Um dos exemplos que sempre dou é a legislação – a legislação de segurança da Internet das coisas – que sens, cory gardner (R-colo.) E mark warner (D-va.) Introduziram no ano passado. Um dos critérios para a aquisição federal de dispositivos que eles tentaram colocar nessa legislação era "nenhuma vulnerabilidade conhecida no código." que não capta exatamente a nuança da maneira como o software está sendo desenvolvido. Como você sabe, os desenvolvedores de software frequentemente usam componentes de terceiros, que têm subcomponentes e subcomponentes, e alguns deles podem chamar de volta a uma biblioteca que possui uma vulnerabilidade conhecida. Mas [muitas vezes] o software é construído de uma forma que a vulnerabilidade não é explorável, e você sabe que não pode ser explorada porque essa parte do software não está voltada para fora e não pode ser configurada para ser acessada de modo a permitir a exploração. Então é esse tipo de coisa onde há mais nuances que podem ser trazidas para a discussão.

Outro exemplo está na legislação da Califórnia que diz que você não pode ter senhas codificadas e que os dispositivos devem ter recursos de segurança razoáveis, sem definir o que isso significa. As empresas não estão particularmente entusiasmadas com essa abordagem porque isso significa que as definições para segurança de software e segurança de hardware, neste caso, serão discutidas em tribunal, o que é uma maneira imprevisível e menos ideal de fazer políticas.

Ross: para o crédito deles, essa legislação evoluiu. Eles ouviram algumas das nossas preocupações e outras sobre como abordar as nuances e melhoraram a legislação. E nós realmente apoiamos a direção que eles estão indo agora. Eu acho que haverá diferenças no próximo congresso, obviamente, e eu não sei como eles vão se comportar com essa legislação. Eu suspeito que haverá mais interesse na casa, mas [sen. Ron Johnson (R-wis.)] Decidiu até agora não avançar legislação no senado. E ele ainda será o presidente, até onde eu sei, do comitê de segurança interna, então não sei quanto vai mudar.