O governo federal dos EUA lançou um formulário de atestado de software destinado a garantir que os produtores de software em parceria com o governo aproveitem técnicas e conjuntos de ferramentas de desenvolvimento mínimos seguros.
O formulário foi anunciado em 11 de março pela Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna, que desenvolveu o formulário com o Escritório de Gestão e Orçamento (OMB). O formulário identifica os requisitos mínimos de desenvolvimento de software seguro que um produtor de software deve atender e atestar que atendem. O software requer atestado se tiver sido desenvolvido após 14 de setembro de 2022. O software desenvolvido antes desta data exige atestado se tiver sido modificado por alterações importantes de versão após 14 de setembro de 2022. O atestado também é necessário se o produtor entregar alterações constantes no código.
Aqueles que buscam o atestado devem jurar que o software foi desenvolvido e construído em ambientes seguros. Os ambientes devem ter sido protegidos por ações como a aplicação da autenticação multifator e acesso condicional em todos os ambientes relevantes para o desenvolvimento e construção de software de uma maneira que minimize o risco de segurança.
Software desenvolvido por agências federais não exige autocertificação. Nem software de código aberto obtido livre e diretamente por uma agência federal, código aberto de terceiros e componentes proprietários incorporados ao software, ou software obtido gratuitamente e disponível publicamente. Espera-se que o repositório da CISA para envio de formulários on-line esteja disponível no final de março, fornecendo uma janela para garantir que os fornecedores de software relevantes tenham o tempo necessário para compreender o conteúdo e os requisitos do formulário.