SSDF y productos y servicios de Adobe
Marco de desarrollo de software seguro
La orden ejecutiva (EO) 14028, Improving the Nation’s Cybersecurity (mejora de la ciberseguridad nacional) de EE. UU., exige a los organismos gubernamentales estadounidenses potenciar las capacidades básicas de las cadenas de suministro de seguridad del software. De conformidad con esta directiva, el Instituto Nacional de Normas y Tecnología (NIST) emitió la publicación especial 800-218, Marco de desarrollo de software seguro (SSDF, por sus siglas en inglés), donde se describen las principales prácticas que deben seguir quienes producen software para garantizar la seguridad de la cadena de suministro. La Oficina de Administración y Presupuesto (OMB) emitió el Memorando M-22-18, Mejora de la seguridad de la cadena de suministro de software mediante prácticas seguras de desarrollo de software, que exige a los organismos gubernamentales estadounidenses adquirir y utilizar únicamente software que certifique el cumplimiento de las prácticas SSDF descritas en NIST 800-218 y el formulario de autocertificación SSDF desarrollado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Cumplimiento del SSDF por parte de Adobe
De acuerdo con la orden ejecutiva sobre la mejora de la ciberseguridad nacional y M-22-18/M-23-16, Adobe, como productor de software no crítico, se ha asociado con nuestra organización de evaluación de terceros (3PAO) para evaluar nuestras prácticas de desarrollo de software con respecto a los requisitos descritos en el Formulario de certificación de desarrollo de software seguro y el Marco de desarrollo de software seguro, publicación especial 800-218 del NIST.
Los formularios de autocertificación de software seguro de Adobe pueden consultarse en el Repository for Software Attestations and Artifacts (repositorio de certificaciones y artefactos de software o RSAA) de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). El portal RSAA está abierto a personas usuarias de agencias federales y productoras de software.
La lista actual de software certificado por SSDF incluye:
1. Adobe Acrobat y Reader, versiones móviles y de escritorio, y servicios en la nube que incluyan IA generativa
2. Adobe Creative Cloud para empresas, todas las aplicaciones móviles y de escritorio, y servicios en la nube que incluyan IA generativa:
a. Adobe Photoshop
b. Adobe Premiere Pro
c. Adobe Illustrator
d. Adobe InDesign
e. Adobe After Effects
f. Adobe Animate
g. Adobe Audition
h. Adobe Bridge
i. Adobe Character Animator
j. Adobe InCopy
k. Adobe InDesign Server
l. Adobe {{lightroom-classic}}
m. Adobe Media Encoder
3. Adobe Experience Manager On-Premise y Managed Services, incluidos los complementos de escritorio
4. Adobe Connect On-Premise para escritorio, servidor, dispositivos móviles y Managed Services
5. Adobe Acrobat Sign
6. Servicios de Adobe Document Cloud
7. Adobe Learning Manager
8. Technical Communication Suite, incluidas Adobe Framemaker, Adobe Captivate y Adobe RoboHelp para escritorio y servidor
9. Adobe ColdFusion
10. Adobe Analytics
11. Adobe Campaign
Si tienes alguna otra pregunta, puedes ponerte en contacto con ssdagov@adobe.com