Les exigences pour travailler avec le gouvernement fédéral américain s'enrichit d'une autre contrainte pour les éditeurs de logiciel. Ils doivent en effet remplir un formulaire d'attestation de sécurité. Ce dernier a été annoncé le 11 mars par l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) du ministère de la sécurité intérieure, qui l'a élaboré en collaboration avec l'Office of Management and Budget (OMB). Le document identifie les exigences minimales en matière de développement de logiciels sécurisés qu'un producteur de logiciels doit respecter et attester. Les solutions doivent être attestées si elles ont été développées après le 14 septembre 2022. Celles conçues avant cette date doivent renseignées toute modification par des changements de version majeurs. Une déclaration est également requise si le producteur apporte des modifications constantes au code.
Les personnes souhaitant obtenir une attestation doivent prouver que le logiciel a été développé et construit dans des environnements sécurisés. Plusieurs méthodes sont retenues telles que l'application de l'authentification multifactorielle et de l'accès conditionnel dans les environnements de développement et la création de logiciels, de manière à minimiser les risques de sécurité.
Les logiciels d'agences gouvernementales et open source exemptés
A noter que les logiciels développés par les agences fédérales ne nécessitent pas d'auto-attestation. Il en va de même pour les logiciels open source obtenus gratuitement et directement par une agence fédérale, les composants open source et propriétaires de tiers incorporés dans le logiciel, ou les logiciels obtenus gratuitement et mis à la disposition du public. Le référentiel du CISA pour la soumission de formulaires en ligne devrait être disponible à la fin de ce mois de mars, ce qui laisse (un peu) le temps aux éditeurs concernés le temps nécessaire pour comprendre le contenu et les exigences du formulaire.