В США продвигают идею сертификации программного обеспечения по требованиям безопасности

CISA совместно с ещё несколькими американскими агентствами выпустили совместный манифест на тему устранения пробелов в понимании программного обеспечения
Под "пониманием ПО" подразумевается практика построения и оценки систем, управляемых программным обеспечением, для проверки их функциональности, безопасности и защиты во всех условиях (нормальных, аномальных и враждебных).
Пробелы в данном направлении приводят к неспособности эффективно создавать ПО без дефектов, исправлять их после обнаружения, поддерживать ПО в необходимом темпе и масштабе, защищая от возможных случаев эксплуатации уязвимостей.

В документе заявляется, что только за 2022 год экономические потери, связанные с дефектами ПО, оценивались в более чем 2 триллиона долларов: это средства затраченные на устранение операционных сбоев, замену устаревших систем, устранение дефектов, уязвимостей и последствий кибератак на объектах критической инфраструктуры США. В качестве наглядных кейсов приводятся атака шифровальщика на компанию Colonial Pipeline, компрометация цепочки поставок SolarWinds, атаки Volt Typhoon и Salt Typhoon.

В качестве меры митигирования авторы рекомендуют разработчикам ПО внедрять процесс аттестации программного обеспечения доверенной третьей стороной в рамках подхода "secure by design", а клиентам — приобретать сертифицированные таким образом продукты. При этом в качестве (положительного) примера приводится политика Китая по снижению зависимости от иностранного ПО, а также требования по раскрытию исходного кода средств защиты информации для сертификации по требованиям безопасности ФСТЭК РФ
А ведь в 2018 году АНБ заявляло, что такой подход Китая и РФ (к раскрытию кода) связан исключительно для выявления слабых мест в иностранном ПО с целью использования в кибератаках гос.уровня

#attestation #vulnerability #cisa #сертификация