Impegno di progettazione sicura | CISA

riepilogo

Si tratta di un impegno volontario che si concentra su prodotti e servizi software aziendali, inclusi software on-premise, servizi cloud e software as a service (SaaS). L’impegno non include prodotti fisici come dispositivi IoT e prodotti di consumo, anche se le aziende che desiderano dimostrare progressi in questi settori sono invitate a farlo.

Partecipando a questo impegno, i produttori di software si impegnano a compiere uno sforzo in buona fede per raggiungere gli obiettivi elencati di seguito durante l’anno successivo. Nel caso in cui un produttore di software sia in grado di compiere progressi tangibili verso l’obiettivo, deve documentare pubblicamente come ha raggiunto tali progressi entro un anno dalla firma dell’impegno. Quando un produttore di software non è in grado di realizzare progressi tangibili, è incoraggiato, entro un anno dalla firma dell’impegno, a condividere con CISA il modo in cui sta lavorando per raggiungere l’obiettivo e le eventuali sfide che deve affrontare. Nello spirito di trasparenza radicale, il produttore è incoraggiato a documentare pubblicamente il proprio approccio in modo che altri possano imparare. Questo impegno è volontario e non giuridicamente vincolante.

L’impegno è strutturato con sette obiettivi. Ciascun obiettivo contiene gli standard chiave verso cui i produttori si impegnano a lavorare, nonché il contesto e gli esempi per raggiungere l’obiettivo e dimostrare progressi misurabili. Per consentire una varietà di approcci, i produttori di software che partecipano al Pledge hanno la facoltà di determinare come possono meglio soddisfare e dimostrare i criteri fondamentali per ciascun obiettivo. Mostrare progressi misurabili nei prodotti di un produttore può assumere varie forme, ad esempio intervenendo su tutti i prodotti di un produttore o selezionando un gruppo di prodotti da affrontare per primo e pubblicando una tabella di marcia per altri prodotti.

CISA riconosce e applaude i produttori di software che hanno già raggiunto o superato questi obiettivi. In tal caso, qualora il produttore di software raggiunga o superi effettivamente un obiettivo, il produttore deve descrivere pubblicamente come lo fa. In questi casi, la CISA accoglie con favore ulteriori sforzi per superare gli obiettivi dell’impegno.

Questo impegno mira a integrare e sviluppare le migliori pratiche di sicurezza del software esistenti, comprese quelle sviluppate da CISA, NIST, altre agenzie federali e le migliori pratiche internazionali e di settore. CISA continua a sostenere l’adozione di misure complementari che migliorano la sicurezza attraverso la progettazione.