Engagement de sécurité dès la conception | LPCC

résumé

Il s’agit d’un engagement volontaire axé sur les produits et services logiciels d’entreprise, notamment les logiciels sur site, les services cloud et les logiciels en tant que service (SaaS). L’engagement n’inclut pas les produits physiques tels que les appareils IoT et les produits de consommation, bien que les entreprises qui souhaitent démontrer des progrès dans ces domaines soient invitées à le faire.

En participant à cet engagement, les fabricants de logiciels s’engagent à faire un effort de bonne foi pour atteindre les objectifs énumérés ci-dessous au cours de l’année suivante. Dans le cas où un fabricant de logiciels est en mesure de réaliser des progrès tangibles vers l’objectif, il doit documenter publiquement comment il a réalisé ces progrès dans l’année suivant la signature de l’engagement. Lorsqu’un fabricant de logiciels n’est pas en mesure de réaliser des progrès tangibles, il est encouragé, dans l’année suivant la signature de l’engagement, à partager avec CISA la manière dont il travaille pour atteindre l’objectif et les défis auxquels il est confronté. Dans un esprit de transparence radicale, le fabricant est encouragé à documenter publiquement son approche afin que d’autres puissent en tirer des leçons. Cet engagement est volontaire et non juridiquement contraignant.

L’engagement est structuré autour de sept objectifs. Chaque objectif contient les normes clés que les fabricants s’engagent à respecter, ainsi que le contexte et les exemples permettant d’atteindre l’objectif et de démontrer des progrès mesurables. Afin de permettre une variété d’approches, les fabricants de logiciels participant au Pledge ont le pouvoir discrétionnaire de déterminer la meilleure façon de répondre et de démontrer les critères fondamentaux pour chaque objectif. Montrer des progrès mesurables sur les produits d’un fabricant peut prendre diverses formes, par exemple en prenant des mesures sur tous les produits d’un fabricant ou en sélectionnant un groupe de produits à traiter en premier et en publiant une feuille de route pour d’autres produits.

CISA reconnaît et félicite les fabricants de logiciels qui ont déjà atteint ou dépassé ces objectifs. Dans un tel cas, où le fabricant du logiciel atteint ou dépasse réellement un objectif, il doit décrire publiquement comment il y parvient. Dans ces cas, la CISA accueille favorablement les efforts supplémentaires pour dépasser les objectifs de l’engagement.

Cet engagement vise à compléter et à s’appuyer sur les meilleures pratiques existantes en matière de sécurité logicielle, y compris celles développées par la CISA, le NIST, d’autres agences fédérales, ainsi que les meilleures pratiques internationales et industrielles. La CISA continue de soutenir l’adoption de mesures complémentaires qui améliorent la sécurité grâce à la conception.