O Exército dos EUA está se preparando para implementar novas diretrizes que exigirão listas detalhadas dos componentes para a maioria dos softwares adquiridos ou desenvolvidos desde fevereiro de 2024. Doug Bush, principal oficial do setor de compras do Exército, assinou um memorando que estabelece a inclusão de listas de materiais de software (SBOMs) nos contratos de software, como parte de uma estratégia para gerenciar riscos da cadeia de suprimentos desse item.
Leia também
LinkedIn: cibersegurança é uma das especialidades mais buscadas
Transporte público de Londres relata incidente cibernético
A nova política exige que o Exército desenvolva diretrizes de implementação e uma linguagem de contrato específica para SBOMs dentro dos próximos 90 dias. Após essa fase, outros 90 dias serão concedidos para que os escritórios de programas incluam essas exigências nos contratos, abrangendo também os subcontratados. A iniciativa tem o objetivo de fortalecer o gerenciamento de riscos associados ao software e garantir a segurança cibernética ao longo do ciclo de vida dos sistemas.
Os serviços em nuvem estão isentos dessa nova exigência, pelo menos por enquanto: a política se aplica a uma ampla gama de softwares, desde novos desenvolvimentos até soluções comerciais e de código aberto. Essa medida é uma resposta a diretrizes da ordem executiva de 2021 do presidente Biden, que foca na segurança das cadeias de suprimentos de software. Embora o Departamento de Defesa tenha evitado a implementação de certificados de software, outro método para garantir a segurança da cadeia de suprimentos, o Exército está priorizando o uso de SBOMs. Em contraste com os atestados, que são promovidos pelo Office of Management and Budget e pela Cybersecurity Infrastructure Security Agency, a abordagem dos SBOMs é amplamente aceita pela indústria.
Além disso, o Exército está explorando o uso de “cartões de resumo” para regulamentar algoritmos de IA, uma abordagem simplificada já reconhecida na comunidade de desenvolvimento de IA. Espera-se que políticas sobre SBOMs para dados também sejam introduzidas no ano fiscal de 2025.