문의하기

Industry Issue

안전한 소프트웨어 개발 관행 증명

Software Risk Analysis
작성자
관리자
작성일
2024-05-03 14:25
조회
18

안전한 소프트웨어 개발 관행 증명

 

바이든 대통령이 행정명령 14028(EO 14028)을 발표한 지 거의 3년이 지났습니다. 공급업체들이 오랫동안 'EO 14028 준수'에 대해 이야기하는 것을 들었지만 현실은 산업에서 지금까지 준수해야 할 사항이 없다는 것입니다.

3월 11일 CISA는 OMB 메모 M-22-18 및 후속 OMB 메모 M-23-16 에 따른 의무 사항의 일부로 보안 소프트웨어 개발 증명 양식(Secure Software Development Attestation Form, SSDF)을 발표했습니다. 자체 증명 양식이 공개되면 중요 인프라에 사용되는 소프트웨어의 공급업체는 90일 이내에 완성된 양식을 제공하고 미국 정부에 소프트웨어를 제공하는 모든 업체는 180일 이내에 동일한 작업을 수행해야 합니다.

대부분의 정부 요구사항 및 자체 증명 양식이 필수 조건인 것처럼 이를 준수하지 않을 경우 패널티가 따릅니다. 양식에는 소프트웨어 제공업체의 리더 중 누군가(예: CEO)가 서명해야 하며 허위 진술은 미국 정부에 대한 허위 진술을 다루는 18 USC § 1001에 따라 처벌될 수 있습니다. 이것이 의미하는 바는 모든 질문에 단순히 "예" 라고 대답하고 싶은 유혹을 받는 소프트웨어 공급자는 다시 한번 생각해야 한다는 것입니다.

분명히 소프트웨어 개발 관행을 증명해야 하는 경우 해당 관행을 잘 알고 이해하면 도움이 됩니다. 소프트웨어 공급자는 NIST SSDF활동에서 나오는 결과를 따를 것으로 예상되므로 자체 증명 양식을 사용하면 작업이 쉬워질 것입니다. SSDF의 42개 활동에는 IEC 62443 과 같은 다른 표준과 BSIMM 과 같은 성숙도 모델도 적용됩니다.

이는 NIST 참조 표준 또는 모델에 대해 소프트웨어 개발 정책, 프로세스 및 워크플로를 벤치마킹한 업체의 경우 자체 증명 양식의 요소를 증명하는 것이 간단해야 함을 의미합니다. FedRAMP (Federal Risk and Authorization Management Program, 클라우드 제품 및 서비스에 대한 연방 위험 및 인증관리 프로그램) 인증에 힘쓰는 업체의 경우 자체 증명 양식을 사용하면 FedRAMP 3PAO 평가자가 자체 증명 대신 사용할 수 있는 독립적인 증명을 제공할 수 있습니다.

귀사의 보안 개발 프로세스는 얼마나 일관성이 있습니까?

하지만 미국 정부 내에서 소프트웨어를 사용하고 있지만 FedRAMP가 승인되지 않은 모든 업체는 어떻게 될까요? 일부 사람들은 자체 인증을 할 때 실수할 위험을 감수할 가치가 없다고 생각할 수도 있습니다. 미국 정부 내에서 실행되는 애플리케이션이 FedRAMP 승인 애플리케이션 328개(현재 기준)보다 훨씬 많다는 점을 고려하면 신뢰할 수 있는 증명 프로세스가 존재해야 합니다. 

이상적으로는 소프트웨어 개발팀이 소프트웨어 개발 관련 기업 정책을 일관되게 준수하는지 확인해야 합니다.

이 부분이 바로 Synopsys가 필요한 부분입니다. Synopsys는 BSIMM 평가의 독립적인 제공업체이며 12년 넘게 BSIMM 평가를 제공해 왔습니다. BSIMM은 NIST SSDF에 대한 참조이고, 작년에 자체 증명 양식이 제공되었다는 것을 알고 있습니다. 이에 Synopsys는 고객들이 시큐어 코드를 제공하는 능력에 대해 얼마나 자신감을 가져야 하는지 측정할 수 있도록 도움을 주는 SSDF 준비 상태 평가(Synopsys SSDF Readiness Assessment)를 개발했습니다.

SSDF 준비 상태 평가는 소프트웨어 공급망 보안 및 위험 관리를 위한 전체 Synopsys 전략의 일부입니다. SSDF 준비 상태 평가를 사용하여 고객은 AppSec 프로그램의 어느 부분에 공백이 있는지, 어디에 일관되지 않은 구현이 존재할 수 있는지, 그리고 일관성이 유지되어 안전한 소프트웨어 제품이 만들어지는지 자신있게 판단할 수 있습니다. 비즈니스의 미래가 소프트웨어 개발 관행, 프로세스 및 워크플로에 대한 정확한 이해에 달려 있다면 비즈니스 위험을 줄이는 것은 SSDF 준비 평가를 통해 해결할 수 있습니다.

 

원문 게시일: 2024.03.12

원문 기고자: Tim MacKey

출처: https://www.synopsys.com/blogs/software-security/secure-software-development-attestation-form.html

« SAST 대 DAST: 애플리케이션 보안 테스트를 위한 가장 좋은 방법은 무엇입니까?
SBOM은 무엇인가? »
목록보기
Powered by KBoard
/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#