A SWFT Initiative é uma nova iniciativa do Departamento de Defesa dos EUA para reformar e acelerar a forma como ele adquire, testa e autoriza softwares seguros. Os processos atuais são lentos e inadequados, dominado pela entrega contínua (continuous delivery) e software de código aberto (open-source).
A SWFT visa substituir o lento e pontual processo de “Authority to Operate” por abordagens mais ágeis e contínuas de gerenciamento de risco da cadeia de suprimentos (SCRM), com menos burocracia e mais foco na segurança contínua, impedindo a capacidade do DoD de fornecer rapidamente softwares de alta qualidade e seguros para seus militares (“Warfighters”).
Este plano definirá requisitos claros e específicos de cibersegurança e gerenciamento de risco da cadeia de suprimentos (SCRM); processos rigorosos de verificação de segurança de software; mecanismos seguros de compartilhamento de informações e determinações de risco lideradas pelo Governo Federal, agilizando a rápida adoção de software.
O DoD busca informações da indústria (RFIs - Requests for Information) sobre a otimização da entrega de software seguro, as metodologias de avaliação de risco de terceiros e o uso de automação e inteligência artificial para agilizar a conformidade e a avaliação de risco, aumentando a letalidade e a resiliência da Força Conjunta ao entregar software seguro de alta qualidade.
Objetivos da SWFT
Os objetivos claros da SWFT são priorizar fornecedores que oferecem “Software Bills of Materials” (SBOMs) utilizáveis, que são listas detalhadas de todos os componentes de software usados em um produto; implementar avaliações de risco contínuas com artefatos facilmente compartilháveis e automatizar as avaliações de risco lideradas pelo próprio DoD.
A ênfase é na “segurança por design”, o que significa que as práticas de segurança devem ser incorporadas desde o início do ciclo de vida do desenvolvimento do software, e não apenas adicionadas como um complemento no final.
A SWFT pode sinalizar uma mudança na “propriedade do risco”, ou seja, em vez de depender apenas de atestações de fornecedores ou da comunidade, o DoD fará suas próprias determinações de risco lideradas pelo governo federal.
E essa propriedade de risco estará embasada em práticas de segurança demonstráveis, coleta de evidências e processos para manter a visibilidade na cadeia de suprimentos de software, criando oportunidades para novos fornecedores e startups que são mais ágeis em se adaptar às novas exigências.
Esta iniciativa demonstra a importância contínua do software de código aberto para o DoD, enfatizando a necessidade de garantir a segurança desses componentes, especialmente dada a grande proporção de código em software que se origina de fontes abertas.
Como impactará o software opensource?
A “Software Fast Track (SWFT) Initiative” do Departamento de Defesa (DoD) dos EUA terá um impacto significativo no software livre (ou de código aberto), como a exigência de “Software Bills of Materials” (SBOMs), listas detalhadas de todos os componentes de software (incluindo dependências) em um produto.
O código aberto, por sua natureza, oferece a transparência necessária para gerar SBOMs precisas. Isso pode incentivar o DoD a preferir soluções de software livre, onde a composição é mais fácil de verificar.
Mas nem todos os projetos de código aberto mantêm SBOMs rigorosas ou atualizadas. Projetos que desejam ser adotados pelo DoD precisarão garantir que seus SBOMs sejam completos, precisos e facilmente geráveis.
A necessidade de auditorias e verificações de segurança mais aprofundadas pode impulsionar a colaboração entre o DoD, empresas de segurança e a comunidade de código aberto, para identificar e corrigir vulnerabilidades.
O DoD estará muito mais atento à origem e à integridade de cada componente de software, exigindo processos mais rigorosos de verificação de segurança, com maior foco na auditoria e no endurecimento de projetos de código aberto.
Mas nem tudo são flores
A natureza distribuída e muitas vezes informal do desenvolvimento de software livre pode apresentar desafios para a aplicação de controles de SCRM estritos. O DoD terá que encontrar maneiras de verificar a segurança de componentes de código aberto sem sufocar a inovação e a flexibilidade que o software livre oferece.
Esses projetos precisarão garantir que suas práticas de desenvolvimento se alinhem com os requisitos de avaliação contínua do DoD, como integração contínua (CI) e entrega contínua (CD) com verificações de segurança automatizadas (DevSecOps).
Isso pode incentivar os fornecedores a investirem mais em segurança de código aberto e a se tornarem mais proativos na correção de vulnerabilidades, o que, por sua vez, beneficia toda a comunidade de software livre.