Gwarancja oprogramowania - Software assurance

Nie mylić z Microsoft Software Assurance .

Oprogramowanie Software Assurance ( SwA ) definiuje się jako „poziom pewności, że oprogramowanie jest wolne od luk w zabezpieczeniach, celowo zaprojektowane do oprogramowania lub przypadkowo wstawione w dowolnym momencie jego cyklu życia, oraz że oprogramowanie działa w zamierzony sposób”.

Głównym celem zapewnienia oprogramowania jest zapewnienie, że procesy, procedury i produkty wykorzystywane do tworzenia i utrzymywania oprogramowania są zgodne ze wszystkimi wymaganiami i standardami określonymi w celu zarządzania tymi procesami, procedurami i produktami. Drugim celem zapewnienia oprogramowania jest zapewnienie, że produkowane przez nas systemy intensywnie korzystające z oprogramowania są bezpieczniejsze. W przypadku takich systemów intensywnie korzystających z oprogramowania wymagana jest prewencyjna dynamiczna i statyczna analiza potencjalnych luk w zabezpieczeniach oraz zalecane jest całościowe zrozumienie na poziomie systemu. Jak stwierdził Gary McGraw , „wady projektowe stanowią 50% problemów związanych z bezpieczeństwem. Nie można znaleźć wad projektowych, patrząc na kod. Wymagane jest zrozumienie na wyższym poziomie. Dlatego analiza ryzyka architektonicznego odgrywa zasadniczą rolę w każdym solidnym oprogramowaniu program bezpieczeństwa."

Alternatywne definicje

Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS)

Według DHS , Software Assurance adresuje:

  • Wiarygodność — nie istnieją żadne możliwe do wykorzystania luki w zabezpieczeniach, wprowadzone złośliwie lub nieumyślnie;
  • Przewidywalne wykonanie — uzasadniona pewność, że oprogramowanie po uruchomieniu działa zgodnie z przeznaczeniem;
  • Zgodność - zaplanowany i systematyczny zestaw multidyscyplinarnych działań zapewniających zgodność procesów i produktów oprogramowania z wymaganiami, normami/procedurami.

Dyscypliny wspierające SwA, wyrażone w zbiorach wiedzy i podstawowych kompetencji: inżynieria oprogramowania, inżynieria systemów, inżynieria bezpieczeństwa systemów informatycznych, zapewnienie informacji, testowanie i ocena, bezpieczeństwo, ochrona, zarządzanie projektami i pozyskiwanie oprogramowania.

Software Assurance to strategiczna inicjatywa Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) mająca na celu promowanie integralności, bezpieczeństwa i niezawodności oprogramowania. Program SWA opiera się na Narodowej Strategii Zabezpieczenia Cyberprzestrzeni – Działanie/Rekomendacja 2-14:

„DHS ułatwi krajowe publiczno-prywatne wysiłki na rzecz rozpowszechniania najlepszych praktyk i metodologii, które promują integralność, bezpieczeństwo i niezawodność w tworzeniu kodu oprogramowania, w tym procesy i procedury, które zmniejszają możliwości błędnego kodu, złośliwego kodu lub pułapek, które mogą być wprowadzone podczas opracowywania”. Istnieją narzędzia typu open source do zapewniania oprogramowania, które pomagają zidentyfikować potencjalne luki w zabezpieczeniach.

Departament Obrony Stanów Zjednoczonych (DoD)

W przypadku DoD SwA definiuje się jako „poziom pewności, że oprogramowanie działa tylko zgodnie z przeznaczeniem i jest wolne od luk, celowo lub nieumyślnie zaprojektowanych lub wprowadzonych jako część oprogramowania, przez cały cykl życia. DoD opracowuje SwA jako dźwięk praktyki inżynierii systemów, czego dowodem są dwie ostatnie publikacje finansowane przez JFAC, których rozwój kierowany jest przez Instytut Inżynierii Oprogramowania (SEI) oraz praktyków-ekspertów w Służbach Wojskowych i NSA. Poradnik SWA Menedżera Programu pokazuje, w jaki sposób należy planować, wykorzystywać i zarządzać SwA podczas Przewodnik SwA dla deweloperów zaleca dostosowywanie praktyk technicznych w całym cyklu życia.Oba te dokumenty są pierwszymi tego rodzaju i nagrodzone.Dwie organizacje o skali korporacyjnej, które DoD budują możliwości SwA, to Joint Federated Assurance Center (JFAC) i DoD Społeczność praktyków SwA, która działała jako kwartalne forum kolegialne 32 kolejne zgromadzenia.Oba są otwarte do innych części rządu USA. Karta JFAC jest dostępna na jej stronie internetowej. Aby rozwinąć szerszą świadomość sytuacyjną na temat rodzin narzędzi SWA dostępnych na rynku, JFAC sfinansował Instytut Analizy Obronnej (IDA) w celu opracowania State of the Art Resource (SOAR). Najnowsza innowacja w SwA „inżynieryjna” w całym cyklu życia polega na łączeniu wybranych mechanizmów kontrolnych NIST 800-53 z zadaniami inżynieryjnymi, tak aby wyniki inżynierskie określały ramy zarządzania ryzykiem (RMF) i skłaniały organ do działania (ATO). Pakiet zawierający opisy elementów danych (DID), formaty raportów o podatnościach do odczytu maszynowego oraz krótki opis zastosowania technik jest dostępny na stronie internetowej JFAC. Trwają prace nad innymi przełomowymi innowacjami.

Projekt Software Assurance Metrics and Tool Evaluation (SAMATE)

Według projektu NIST SAMATE, zapewnienie oprogramowania to „zaplanowany i systematyczny zestaw działań, który zapewnia, że ​​procesy i produkty związane z oprogramowaniem są zgodne z wymaganiami, standardami i procedurami, aby pomóc osiągnąć:

  • Wiarygodność — nie istnieją żadne luki, które można wykorzystać, ani złośliwego, ani niezamierzonego pochodzenia, oraz
  • Przewidywalne wykonanie — uzasadniona pewność, że oprogramowanie po uruchomieniu działa zgodnie z przeznaczeniem”.

Narodowa Agencja Aeronautyki i Przestrzeni Kosmicznej (NASA)

Według NASA zapewnienie oprogramowania to „planowany i systematyczny zestaw działań, które zapewniają, że procesy i produkty związane z oprogramowaniem są zgodne z wymaganiami, standardami i procedurami. Obejmuje dyscypliny zapewniania jakości, inżynierię jakości, weryfikację i walidację, raportowanie niezgodności i działania naprawcze działania, zapewnienie bezpieczeństwa i zapewnienie bezpieczeństwa oraz ich zastosowanie w cyklu życia oprogramowania." Norma NASA Software Assurance stwierdza również: „Zastosowanie tych dyscyplin podczas cyklu życia oprogramowania nazywa się Software Assurance”.

Grupa Zarządzania Obiektami (OMG)

Według OMG zapewnienie oprogramowania to „uzasadniona wiarygodność w spełnianiu ustalonych celów biznesowych i bezpieczeństwa”.

SwA Special Interest Group (SIG) OMG współpracuje z Platform and Domain Task Forces oraz innymi podmiotami i grupami branży oprogramowania spoza OMG w celu koordynowania ustanowienia wspólnych ram analizy i wymiany informacji związanych z wiarygodnością oprogramowania poprzez ułatwienie rozwoju specyfikacji oprogramowania Software Assurance Framework, która:

  • Stwórz wspólne ramy właściwości oprogramowania, które mogą być używane do reprezentowania dowolnych/wszystkich klas oprogramowania, aby dostawcy oprogramowania i nabywcy mogli reprezentować swoje twierdzenia i argumenty (odpowiednio) wraz z odpowiednimi dowodami, wykorzystując zautomatyzowane narzędzia (w celu uwzględnienia skali)
  • Sprawdź, czy produkty w wystarczającym stopniu spełniają te cechy przed nabyciem produktu, aby inżynierowie/integratorzy systemów mogli używać tych produktów do budowania (składania) z nimi większych, gwarantowanych systemów
  • Umożliwienie branży poprawy wglądu w aktualny stan zapewnienia oprogramowania podczas tworzenia oprogramowania
  • Umożliwiaj branży opracowywanie zautomatyzowanych narzędzi obsługujących wspólne ramy.

Forum Software Assurance na temat doskonałości w kodzie (SAFECode)

Według SAFECode zapewnienie oprogramowania to „pewność, że oprogramowanie, sprzęt i usługi są wolne od celowych i niezamierzonych luk w zabezpieczeniach oraz że oprogramowanie działa zgodnie z przeznaczeniem”.

Inicjatywy

Inicjatywa finansowana przez władze federalne USA nosiła nazwę Software Assurance , która była finansowana wspólnie przez DHS, DOD i NIST i prowadziła witrynę Build Security In (BSI) .

Dlaczego gwarancja oprogramowania ma znaczenie?

Wiele działań biznesowych i krytycznych funkcji — od obrony narodowej przez bankowość, opiekę zdrowotną, telekomunikację, lotnictwo po kontrolę materiałów niebezpiecznych — zależy od prawidłowego, przewidywalnego działania oprogramowania. Działania te mogłyby zostać poważnie zakłócone, gdyby systemy intensywnie korzystające z oprogramowania mogły ulec awarii.

Zobacz też

Bibliografia

Zewnętrzne linki