Vorige week heeft het Witte Huis de richtlijn voor het testen van derde software voor overheidsdiensten bekend gemaakt. Sinds vorig jaar is aan de tekst gewerkt en nu weten alle afnemers en leveranciers waar ze extra op moeten letten.
SBOM
Testen is een ding. Iets dat er veel mee te maken heeft is dat van alle vendors nu een ‘software bill of materials’ (SBOM) wordt verlangd. Men moet dus vooraf inzichtelijk maken waaruit het pakket bestaat. Software is immers geen product dat van A tot Z zelf is ontwikkeld. Men die leentjebuur bij opensource bronnen, eigen componenten of koopt iets in bij een andere partij.
Waar dat toe kan leiden is inmiddels meer dan bekend. Deze richtlijn is een direct gevolg van de schade die Solarwinds heeft aangericht in 2020. Dat bedrijf had gewoon geen serieuze kwaliteitscontrole voor delen van de eigen software. Russische cybercriminelen hebben daar maximaal van geprofiteerd.
Aansprakelijkheid
SBOM is belangrijk, maar tegelijk is het niets anders dan een vorm van zelfcertificering. Dat is een beperking, waar beter naar gekeken moet worden. Aan de andere kant is het wel zo – en dat is nog weinigen opgevallen – dat een SBOM het makkelijker maakt de softwaremaker of vendor aansprakelijk te stellen voor fouten. Daarmee gaat Amerika dus de zelfde kant op als de EU al doet. De afnemers moeten alle software gaan testen en deel daarvan is het analyseren van een gedetailleerd document van de leverancier. Dat document wordt dus heel belangrijk.