X-twitter Linkedin Whatsapp Facebook Instagram Youtube

El gobierno de EE.UU. propone reglas SBOM para contratistas

Tres agencias del gobierno estadounidense han propuesto nuevas reglas para los contratistas federales que les exigirían desarrollar y mantener una lista de materiales de software (SBOM) para cualquier software utilizado para entregar un contrato.

Emitidas por el Departamento de Defensa (DoD), la NASA y la Administración de Servicios Generales (GSA), las propuestas pueden verse como una respuesta a la orden ejecutiva del presidente Biden de mayo de 2021, específicamente la parte diseñada para mejorar la respuesta a incidentes.

Un SBOM es un inventario oficial de todos los componentes de una pieza de software de código abierto o propietario, incluidas las relaciones jerárquicas, a menudo complejas, entre ellos. Se consideran un paso fundamental para mitigar el riesgo de la cadena de suministro de software, al mejorar la visibilidad de las vulnerabilidades potenciales y acelerar la corrección de fallas conocidas.

Sin embargo, todavía, nada está escrito en piedra. De hecho, el Departamento de Defensa, la NASA y la GSA están solicitando comentarios sobre las siguientes preguntas:

¿Cómo deben cobrarse los SBOM de los contratistas? ¿Qué protecciones son necesarias para la información contenida en un SBOM?

¿Cómo debería pensar el gobierno sobre el alcance apropiado del requisito de que los contratistas proporcionen SBOM para garantizar una seguridad adecuada?

¿Qué desafíos enfrentarán los contratistas en el desarrollo de SBOM? ¿Qué desafíos son exclusivos de los revendedores de software? ¿Qué desafíos existen con respecto al software heredado?

¿Cuáles son los medios adecuados para evaluar cuándo se debe actualizar un SBOM en función de los cambios en una nueva compilación o versión principal?

¿Cuál es el equilibrio adecuado entre el gobierno y el contratista al monitorear los SBOM en busca de vulnerabilidades de software integrado a medida que se descubren?

Chris Hughes, asesor jefe de seguridad de Endor Labs y miembro de innovación cibernética de CISA, argumentó que las propuestas tendrán un «efecto dominó amplio e impactante» y muestran «hasta dónde está dispuesto a llegar el gobierno para lograr la transparencia».

El gobierno podría efectivamente obligar a los contratistas a exigir SBOM a todos sus proveedores de software externos, pero ésto puede presentar algunos desafíos.

ARTÍCULOS RELACIONADOS

Big HeadSendmarc

OPINIÓN

Kaspersky anticipa para 2026 Ciberamenazas Financieras impulsadas por IA y un Auge de Fraudes dirigidos a Pagos Móviles

Multa récord de la AEPD a AENA: 10 millones de euros por reconocimiento facial sin evaluación de impacto válida

Amazon vs. Perplexity: cuando las plataformas cierran las puertas a los agentes de IA que los usuarios necesitan

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.

SABER MÁS
Logo Ciber Seguridad Latam Blanco
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

© 2022 Ciberseguridad LATAM. All rights reserved.

Diseño y Programación Estudio UMO