行政令背景
美国政府颁布了相关行政命令,对软件供应链的安全问题给予了高度重视。美国国家标准与技术研究院(NIST)在其中扮演了核心角色,被责令出台一份关于“识别并加强软件供应链安全措施”的指导文件。这一举措源于对软件安全性的紧迫需求,目的是提高整个软件供应链的安全水平。
这些行政命令的发布,凸显了软件安全现状的紧迫性。近期,软件安全问题屡次发生,对联邦政府机构的信息系统构成了潜在威胁。因此,迫切需要通过制定相关制度和指南来确保软件安全。
指南要求概述
本备忘录执行行政命令的规定,联邦机构在采用第三方软件时必须依照NIST指南行事。因此,软件供应商必须证实其遵循了政府规定的软件安全开发准则。NIST指南制定了软件安全开发的规范和标准,旨在确保软件开发过程中能有效预防和解决安全问题。
软件应用需符合规定,同时厂商需出示已实施相关规范的证据。这样一来,软件在最初阶段就满足了安全标准,从而降低了联邦机构信息系统被攻击的风险。
机构负责人职责
依据行政命令和指导原则,机构的首席信息官及相关负责人需采取措施,确保软件供应商按规范操作。他们需严格审查,确保供应商能证明其遵循了软件安全开发的标准,以阻止不符合标准的软件进入信息平台。
当软件企业无法证明符合NIST指南的部分内容时,联邦机构需让其明确指出哪些实践无法证明,同时记录降低风险的具体措施,并制定相应的开发步骤和时间表。如此一来,即便出现意外情况,也能迅速应对,确保软件的安全性。
第三方评估作用
第三方评估能作为一种软件公司自我验证的替代途径,但需以NIST指南为评估的标准。通过第三方评估机构(3PAO)认证的机构或其认可的机构所进行的评估,提升了评估的客观性和专业性。
这种做法在整合开源软件等场合特别关键,确保了开源软件同样享有稳固的安全防护。它给软件安全增添了一道防线,使得联邦机构在使用相关软件时更加安心。
时间任务节点
自备忘录公布之始,机构需在120日限期内,构建流程,并与厂商就相关需求进行交流,确保证明文件不对外泄露,并实施集中搜集。此举措旨在迅速传递要求,加强信息管理,确保软件安全信息的保密性。
在270天内需搜集“关键软件”的相关证明文件,而365天内需收集所有软件的证明材料,同时厂商不得对外公开。这一做法反映了分步骤推进,逐步实现软件安全证明的落实,旨在确保全面覆盖并保障信息安全。
后续行动规划
自备忘录公布起180日内,机构信息主管需对培训需求进行评估,制定培训方案,并审核相关证明文件和资料。此举旨在增强相关人员对软件安全知识的理解和操作技能,确保验证工作的正确性和有效性。
从OMB提出要求开始,CISA需在一年内完成政府内部软件认证库的建立,并实施保护与共享措施。此举为软件安全信息的整合与运用打下了基础,有助于提升软件供应链的安全管理水平。
阅读完这些内容,关于美国在行政命令中提出的软件安全开发规范,你认为这对增强软件的安全性会有怎样的影响?
