O governo dos Estados Unidos rescindiu uma orientação da administração anterior que pedia às agências federais a solicitação de SBOMs e atestações de conformidade com o NIST SSDF. A decisão foi reportada pelo DarkReading e, segundo o veículo, “Federal agencies will no longer be required to solicit software bills of material (SBOMs) from tech vendors, nor attestations that they comply with NIST's Secure Software Development Framework (SSDF). What that means long term is unclear.”
O que o anúncio muda
De acordo com a matéria do DarkReading, a exigência de que fornecedores forneçam SBOMs (software bill of materials) e atestados de conformidade com o Secure Software Development Framework do NIST foi formalmente rescindida para agências federais. O texto do RSS indica que a obrigação deixou de existir, mas não detalha medidas substitutas ou um cronograma de implementação de políticas alternativas.
Implicações para cadeia de suprimentos de software
SBOMs são vistos por especialistas como um mecanismo importante para aumentar a transparência da cadeia de suprimentos de software — permitindo que compradores e operadores identifiquem componentes vulneráveis e realizem avaliações de risco mais eficazes. A revogação da orientação pode reduzir a pressão contratual para obtenção de SBOMs em compras federais nos EUA, com possíveis efeitos indiretos sobre mercados e fornecedores que atuam globalmente.
Limites do que se sabe
- O relatório do DarkReading afirma a revogação, mas o resumo do RSS não inclui o texto oficial do ato ou instruções operacionais para agências ou fornecedores.
- Não há, no conteúdo disponível, indicação de que a revogação afete legislações estaduais, requisitos de clientes privados ou frameworks internacionais.
- Também não foram fornecidos detalhes sobre consequências contratuais imediatas para fornecedores que já entregavam SBOMs como parte de compras públicas.
Relevância para instituições e provedores
Para departamentos de segurança e equipes de aquisição, a notícia altera o cenário regulatório dos EUA, potencialmente reduzindo uma força motriz que impulsionou a adoção de práticas de inventário de componentes. Para empresas que vendem software para o setor público americano, a mudança pode reduzir um requisito executivo, mas não impede que compradores individuais mantenham cláusulas contratuais que exijam SBOMs.
O que falta e próximos passos
O DarkReading assinala a incerteza sobre os efeitos de longo prazo. O texto disponível não traz comunicações oficiais, orientações de transição ou declarações de agências específicas. Profissionais de segurança e procurement devem buscar o comunicado oficial do órgão responsável pela revogação e monitorar orientações das agências clientes. Em ambientes internacionais, incluindo o Brasil, organizações que adotaram SBOMs como boa prática não têm, com base nesta reportagem, um motivo técnico imediato para reverter políticas internas — trata‑se de uma mudança normativa nos EUA cujo impacto prático dependerá de decisões subsequentes de contratações e de políticas públicas.
Onde obter informações adicionais
O DarkReading reportou a decisão; para ações concretas, consulte a publicação oficial do governo ou orientações das agências envolvidas. O trecho do artigo citado acima resume a ação tomada, mas não substitui a leitura do ato normativo.
Observação
Esta matéria foi redigida a partir do conteúdo reportado pelo DarkReading; o texto original reporta a revogação e ressalta que os efeitos de longo prazo ainda não estão claros.