streszczenie
Jest to dobrowolne zobowiązanie dotyczące oprogramowania i usług dla przedsiębiorstw, w tym oprogramowania lokalnego, usług w chmurze i oprogramowania jako usługi (SaaS). Zobowiązanie nie obejmuje produktów fizycznych, takich jak urządzenia IoT i produkty konsumenckie, chociaż firmy, które chcą wykazać postęp w tych obszarach, mogą to zrobić.
Uczestnicząc w tym zobowiązaniu, producenci oprogramowania zobowiązują się do podjęcia w dobrej wierze wysiłków na rzecz osiągnięcia celów wymienionych poniżej w następnym roku. Jeżeli producent oprogramowania będzie w stanie poczynić wymierne postępy w kierunku osiągnięcia celu, w ciągu roku od podpisania zobowiązania musi on publicznie udokumentować sposób, w jaki osiągnął ten postęp. Jeżeli producent oprogramowania nie jest w stanie poczynić wymiernych postępów, zachęca się go, aby w ciągu roku od podpisania zobowiązania podzielił się z CISA informacjami o swoich pracach nad osiągnięciem celu i wszelkich stojących przed nim wyzwaniach. W duchu radykalnej przejrzystości zachęca się producenta do publicznego dokumentowania swojego podejścia, aby inni mogli się czegoś nauczyć. Zobowiązanie to jest dobrowolne i niewiążące prawnie.
Zobowiązanie składa się z siedmiu celów. Każdy cel zawiera kluczowe punkty odniesienia, do których zobowiązują się producenci, a także kontekst i przykłady osiągnięcia celu i wykazania wymiernego postępu. Aby umożliwić różnorodne podejścia, producenci oprogramowania uczestniczący w Zobowiązaniu mają swobodę określenia, w jaki sposób mogą najlepiej spełnić i wykazać podstawowe kryteria każdego celu. Wykazywanie wymiernych postępów w zakresie produktów producenta może przybierać różne formy – np. podjęcie działań w odniesieniu do wszystkich produktów producenta lub wybranie grupy produktów, którymi należy się zająć w pierwszej kolejności, i opublikowanie planu działania dla innych produktów.
CISA docenia i pochwala producentów oprogramowania, którzy już osiągnęli te cele lub je przekroczyli. W takim przypadku, gdy producent oprogramowania faktycznie osiąga lub przekracza wartość docelową, musi publicznie opisać, w jaki sposób to robi. W takich przypadkach CISA z zadowoleniem przyjmuje dodatkowe wysiłki mające na celu przekroczenie celów określonych w zobowiązaniu.
To zobowiązanie ma na celu uzupełnienie i rozwinięcie istniejących najlepszych praktyk w zakresie bezpieczeństwa oprogramowania, w tym opracowanych przez CISA, NIST i inne agencje federalne, a także najlepszych praktyk międzynarodowych i branżowych. CISA w dalszym ciągu wspiera przyjęcie środków uzupełniających, które poprawiają bezpieczeństwo od samego początku.
„Kawioholik. Fanatyk alkoholu na całe życie. Typowy ekspert podróży. Skłonny do napadów apatii. Internetowy pionier”.
More Stories
JPMorgan oczekuje, że Fed obniży w tym roku referencyjną stopę procentową o 100 punktów bazowych
Akcje giganta chipów sztucznej inteligencji Nvidia spadły pomimo rekordowej sprzedaży wynoszącej 30 miliardów dolarów
Stowarzyszenie Graczy NFL pozywa DraftKings na kwotę około 65 milionów dolarów