新指南发布背景
2022年9月14日,美国联邦政府的一个部门,即管理和预算办公室(简称OMB),发布了一项新规定。该规定针对的是软件供应链。此举并非偶然,而是在网络安全问题日益加剧的背景下做出的。依据《网络安全行政命令》第四款规定,政府应“制定指南,具体阐述增强软件供应链安全措施”,本备忘录正是依照这一规定制定的。
现在,网络攻击事件频繁发生,软件来源渠道变得至关重要。政府最新发布的这份指南,旨在加强网络安全防护,是一项重要行动。
NIST 指南概述
NIST 指南是软件供应商必须遵循的安全开发规范。它从软件制造商的角度出发,对数据加密、漏洞自动识别与修复、双因素认证等多项安全措施进行了详尽说明。这可以看作是制造商的操作手册,为厂商提供了确保软件安全性的明确指导。
联邦机构作为软件的采购方,在EO 14028中提出了明确的要求。这些要求旨在确保所购软件符合安全开发规范。此外,该文件还为机构如何使用软件提供了详细的指导。
备忘录核心要求
政府机构要求软件供应商自行确认其产品符合NIST的安全软件开发准则,并且在引入新软件之前必须完成自我验证。这一规定既适用于全新的软件,也适用于经过大幅更新版本的现有软件。这就像是在软件安装过程中设置了一道“安全关卡”,只有获得认证的软件才有资格接入政府机构的系统。
若软件厂商未完全遵守相关规定,必须先识别出存在的问题,并拟定相应的风险缓解措施。接着,相关机构会对风险进行评估,进而判断该软件是否被接受。此规定旨在保证,即便软件存在不足,也能通过评估来判定其适用性。
自我认证相关规定
自我认证是备忘录中至关重要的环节。在120天的时间里,相关机构必须建立一套向供应商传达新要求的流程,并且构建一个集中式管理的自我认证表格系统。同时,CISA也必须在同一时间段内制定出统一的自我认证表格。通过这些措施,我们确保了自我认证的标准化和有序进行。
如果软件开发商没有自己进行核实,那么第三方评估组织可以介入。尤其是涉及关键软件,相关机构可能会要求企业提交按照SPDX标准的软件成分清单,目的是为了加强软件安全的监管。
对软件供应商影响
在向联邦政府交付软件时,需证实其遵循了NIST的指导原则。尤其是规模较大的供应商,可能需利用自动化工具以满足这些指导原则。比如,软件供应链安全管理平台就是一种这样的工具,它能支持自动化地进行漏洞扫描和许可证合规性检查,助力供应商更高效地完成安全开发任务。
利用这些自动化工具,企业得以全方位管理资产、审批和账目,更有效地管理软件资源,确保软件供应链的安全。这对供应商来说,既是挑战,也是提升软件质量的绝佳机会。
对政府机构和私企影响
政府机构已确立新的指导方针,规定在选择软件时需遵循更严格的标准。这一举措不仅增强了机构软件使用的安全性,而且大幅降低了网络安全威胁。不过,这也意味着机构在采购及管理软件的过程中需作出相应调整。
在私营企业里,开源软件已经成为现代应用软件供应链中的核心部分。新的指导方针可能促使私营企业重新审视其软件供应链的安全管理。许多大型私营企业可能需要像对待供应商一样,对供应链进行必要的调整和改进,以便满足市场和监管的新变化。
