Des groupes industriels critiquent un vague amendement de la chaîne d’approvisionnement des logiciels à la Chambre NDAA

Écrit par John Hewitt Jones

Des groupes industriels ont écrit aux législateurs, avertissant que les propositions de chaîne d’approvisionnement en logiciels incluses dans la version de la Chambre de la loi sur l’autorisation de la défense nationale de 2023 sont vagues et incohérentes en interne.

Dans une lettre envoyée aux dirigeants du House Armed Services Committee des deux parties, l’Alliance pour l’innovation numérique, la Software Alliance, la Cybersecurity Coalition et l’Information Technology Industry Association ont critiqué un amendement à la politique de défense qui codifierait une nomenclature logicielle dans le système fédéral. processus d’achat.

S’il est promulgué dans sa forme actuelle, l’article 6722 de la NDAA exigerait que les titulaires de contrats couverts existants et ceux qui répondent aux demandes de proposition du Département américain de la sécurité intérieure fournissent une nomenclature, certifient que les éléments de la nomenclature sont exempts de vulnérabilités. ou défauts et identifier un plan pour gérer les vulnérabilités identifiées.

Le directeur exécutif de l’Alliance pour l’innovation numérique, Ross Nodurft, a déclaré : Les SBOM peuvent constituer une partie utile d’un programme plus vaste axé sur le développement de logiciels sécurisés. Cependant, le processus de production et de consommation des SBOM n’est pas suffisamment mature pour être codifié dans la loi à l’heure actuelle.

Selon les industriels, dans sa forme actuelle, l’amendement ne précise pas si la nomenclature se limite aux logiciels ou concerne l’ensemble des composants. Les directives de gestion des risques incluses dans l’amendement sont également en contradiction avec les directives du Bureau du directeur du renseignement national, de l’Agence de sécurité nationale et de la CISA, ont ajouté les groupes commerciaux.

La missive fait suite à une note de service de la Maison Blanche publiée plus tôt dans la journée qui obligera les fournisseurs à attester eux-mêmes leur conformité aux exigences de la chaîne d’approvisionnement logicielle du NIST avant de fournir leurs services aux agences fédérales.

La Chambre a adopté sa version de la NDAA 2023 en juillet. Le Sénat envisage toujours sa propre version du projet de loi annuel, après quoi les deux chambres chercheront à les combiner en conférence avant d’envoyer la NDAA finale au président.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite