Richtlijn Witte Huis voor testen van software

Vorige week heeft het Witte Huis de richtlijn voor het testen van derde software voor overheidsdiensten bekend gemaakt. Sinds vorig jaar is aan de tekst gewerkt en nu weten alle afnemers en leveranciers waar ze extra op moeten letten. De softwarerichtsnoeren van het Witte Huis zijn bedoeld om van softwareproducenten garanties te krijgen dat zij hun software screenen volgens de NIST richtlijnen. Daarbij gaat het om kwetsbaarheden en integriteit van de code. Zonder de tests mag de software niet meer op systemen van de overheid worden geïnstalleerd. Daarbij maakt het niet uit of het gaat om nieuwe installaties of upgrades.

SBOM

Testen is een ding. Iets dat er veel mee te maken heeft is dat van alle vendors nu een ‘software bill of materials’ (SBOM) wordt verlangd. Men moet dus vooraf inzichtelijk maken waaruit het pakket bestaat. Software is immers geen product dat van A tot Z zelf is ontwikkeld. Men die leentjebuur bij opensource bronnen, eigen componenten of koopt iets in bij een andere partij. Waar dat toe kan leiden is inmiddels meer dan bekend. Deze richtlijn is een direct gevolg van de schade die Solarwinds heeft aangericht in 2020. Dat bedrijf had gewoon geen serieuze kwaliteitscontrole voor delen van de eigen software. Russische cybercriminelen hebben daar maximaal van geprofiteerd.

Aansprakelijkheid

SBOM is belangrijk, maar tegelijk is het niets anders dan een vorm van zelfcertificering. Dat is een beperking, waar beter naar gekeken moet worden. Aan de andere kant is het wel zo – en dat is nog weinigen opgevallen – dat een SBOM het makkelijker maakt de softwaremaker of vendor aansprakelijk te stellen voor fouten. Daarmee gaat Amerika dus de zelfde kant op als de EU al doet. De afnemers moeten alle software gaan testen en deel daarvan is het analyseren van een gedetailleerd document van de leverancier. Dat document wordt dus heel belangrijk.