Temagrupp Säkra leveranskedjor för programvara

[24-03-11]

Temagruppen ”Säkra leveranskedjor för programvara” är en mötesplats för alla intresserade av erfarenhetsutbyte och nya insikter kring processer, standarder och nya tekniker för att möta förändrade omvärldskrav, bl.a. de nya kraven i EU:s CRA och NIS2.

  • Gruppen leds av Olle E Johansson på Edvina AB. Epost: oej@edvina.se.
  • Gruppen är under etablering våren 2024 – anmäl ditt intresse för att delta till Olle Johansson.

Fokusområden för temagruppen:

  • Software supply chain security: Hur säkrar vi produktionen av programvara – från commit till release?
  • Sårbarhetshantering: Hur hanterar vi både kommersiella och open source-komponenter i en programvara?
  • Verktyg: Kommersiella och öppna verktyg som stödjer processen
  • Nyckelord: SBOM, VEX, CSAF, CVE, CWE, NVD, ENISA, CRA
    • SBOM står för ”Software Bill of Materials” och är en innehållsdeklaration över alla de komponenter en programvara innehåller. Att känna till dessa är en grundförutsättning för att sedan kunna klarlägga och åtgärda nyupptäckta sårbarheter.

Planerade aktiviteter/möten

Följande gruppmöten är inplanerade. Möteslänk skickas till gruppmedlemmar samt till de som anmäler intresse för mötena. Anmäl intresse direkt till Olle Johansson (oej@edvina.se) eller till cybernode@ri.se. Välkomna!

Preliminär planering:

  • Tisdag 9 april kl 15-16.30 – EUs cyber-regelverk: CRA, RED, Product liability act och NIS2 (förslag)
  • EJ bestämt datum – öppen källkod: Att jobba med Open Source komponenter i utvecklingsprojekt – tips och råd (förslag)

Genomförda aktiviteter/möten

Gruppmöte 230213 – Cyber Resilience Act – senaste förslaget – vad har ändrats och vad händer nu?

Gruppmöte 231212 – GITLAB’s role in your software supply chain security process

Presentation av Dominique Top, Solutions Architect, GitLab:

LÄNK: https://youtu.be/kY2MJrpqTxY

Gruppmöte 231114 om CRA och utvecklingsprocessen

Presentationer av Clarence Paulsson, Emelie Markianos och Louise Thörner.

LÄNK: https://youtu.be/0whav-UG1Zw

Webbinar 231024 om CRA & NIS2: säkra företagets processer för cybersäkra programvaror på EUs inre marknad

Den 24 oktober kl 14.30-16.00 höll arbetsgrupp ”Säkra leveranskedjor” ett webbinar om kraven i de nya EU-regleringar som är på gång – NIS2 och CRA (Cyber Resilience Act). Dessa påverkar alla som levererar programvara på EU-marknaden, där reglerna gäller allt från IoT till fristående program och mobilappar. Webbinaret gav en introduktion till metoder, processer, tekniker och programvarustöd för det växande hotet avseende cyberattacker mot företagens leveranskedjor för programvara och samhällets programvaruförsörjning.

Inspelningen av webbinariet finns nedan. Tider i klippet enligt agendan nedan – 1.00: Martin Jerlings presentation, 22.00: Per-Erik Erikssons presentation, 45:30: Olle E Johanssons presentation, 1.06.00: frågor och diskussion, 1.15.00: om kommande möten.

LÄNK: https://youtu.be/pZ-Kdot-_Kk

Presentation av Olle E Johansson:

WEBBINARIETS AGENDA 231024

  • CRA, NIS2 och inbäddade system – säkra upp komponenter i din leveranskedja
    • De nya regelverken ställer krav på programfunktioner i allt från integrerade komponenter till molntjänster. Hur kan man som tillverkare säkerställa att alla tredjepartskomponenter är uppdaterade samt kan uppdateras när man får sårbarheter?  Vad kan man göra om leverantören inte fullgör sina åtaganden och man riskerar att inte kunna följa regelverket fullt ut?
    • Talare: Martin Jerling, ASSA ABLOY Global Solutions
  • Kort uppdatering – NIS2 och Cyber Resilience Act – vad är det och vad är status?
    • I den här presentationen introduceras NIS2 (Network and Information Security Directive) och CRA (Cyber Resilience Act), vilka täcker olika delar av marknaden för programvaror och online-tjänster.
    • Talare: Per-Erik Eriksson, HIQ och Dataföreningen Väst
  • Från SBOM till säkerhet för Open Source – en introduktion till vad som händer i OpenSSF och OWASP CycloneDX
    • Ökad säkerhet i programvara innebär att leverantören behöver uppdatera både sin egen kod och tredjepartsberoenden löpande. Nyckeln till detta är en digital innehållsförteckning – en SBOM (Software Bill of Materials) och processer för att hitta, analysera och korrigera sårbarheter i produkter. Vi går igenom några internationella projekt och produkter som tagits fram.
    • Talare: Olle E. Johansson, Edvina AB
  • Frågestund
  • Introduktion och inbjudan till arbetsgruppens kommande arbete