Veilig door ontwerpbelofte | CISA

samenvatting

Dit is een vrijwillige belofte die zich richt op bedrijfssoftwareproducten en -diensten, waaronder on-premise software, clouddiensten en software as a service (SaaS). De belofte omvat niet fysieke producten zoals IoT-apparaten en consumentenproducten, hoewel bedrijven die vooruitgang op deze gebieden willen aantonen, welkom zijn om dat te doen.

Door deel te nemen aan deze belofte beloven softwarefabrikanten dat ze zich te goeder trouw zullen inspannen om het komende jaar aan de onderstaande doelen te werken. In het geval dat een softwarefabrikant tastbare vooruitgang kan boeken in de richting van het doel, moet de fabrikant binnen een jaar na ondertekening van de belofte publiekelijk documenteren hoe hij die vooruitgang heeft bereikt. Wanneer een softwarefabrikant geen tastbare vooruitgang kan boeken, wordt de fabrikant aangemoedigd om binnen een jaar na ondertekening van de belofte met CISA te delen hoe de fabrikant werkt om het doel te bereiken en welke uitdagingen hij tegenkomt. In de geest van radicale transparantie wordt de fabrikant aangemoedigd om zijn aanpak publiekelijk te documenteren, zodat anderen ervan kunnen leren. Deze belofte is vrijwillig en niet juridisch bindend.

De belofte is georganiseerd met zeven doelen. Elk doel bevat de belangrijkste benchmarks waar fabrikanten beloven naartoe te werken, evenals de context en voorbeelden om het doel te bereiken en meetbare vooruitgang aan te tonen. Om een ​​verscheidenheid aan benaderingen mogelijk te maken, kunnen softwarefabrikanten die aan de Pledge deelnemen, naar eigen goeddunken bepalen hoe zij het beste aan de kerncriteria voor elk doel kunnen voldoen en deze kunnen demonstreren. Het laten zien van meetbare vooruitgang bij de producten van een fabrikant kan verschillende vormen aannemen – zoals het ondernemen van actie op alle producten van een fabrikant, of door een groep producten te selecteren die als eerste moet worden aangepakt en een routekaart voor andere producten te publiceren.

CISA erkent en juicht softwarefabrikanten toe die deze doelen al hebben bereikt of overtroffen. In een dergelijk geval, waarin een softwarefabrikant daadwerkelijk een doelstelling haalt of overtreft, moet de fabrikant publiekelijk beschrijven hoe hij dat doet. In deze gevallen verwelkomt CISA extra inspanningen om de doelstellingen van de belofte te overtreffen.

Deze belofte is bedoeld om de bestaande best practices op het gebied van softwarebeveiliging aan te vullen en erop voort te bouwen, inclusief die welke zijn ontwikkeld door CISA, NIST en andere federale instanties, en internationale en industriële best practices. CISA blijft de goedkeuring van aanvullende maatregelen ondersteunen die Secure by Design versterken.