軟件供應(yīng)商和用戶，都需要對(duì)有效抵御軟件供應(yīng)鏈攻擊的要求和法規(guī)越來(lái)越熟悉。

供應(yīng)鏈安全繼續(xù)在網(wǎng)絡(luò)安全領(lǐng)域受到重點(diǎn)關(guān)注，這是有充分理由的：SolarWinds、Log4j、Microsoft和Okta軟件供應(yīng)鏈攻擊等事件，持續(xù)影響著頭部軟件供應(yīng)商以及廣泛使用的開源軟件組件，這種擔(dān)憂是全球性的。

隨著各國(guó)政府尋求降低軟件供應(yīng)鏈攻擊的風(fēng)險(xiǎn)，世界各地的法規(guī)和要求正在不斷發(fā)展，安全設(shè)計(jì)、安全軟件開發(fā)、軟件責(zé)任和自我證明以及第三方認(rèn)證等正在成為主要話題。

軟件供應(yīng)商需要更加了解當(dāng)?shù)氐淖兓?。由于攻擊者所利用的軟件供?yīng)商十分廣泛，這些要求旨在幫助減輕軟件供應(yīng)鏈攻擊給國(guó)家和政府帶來(lái)的風(fēng)險(xiǎn)。全球各國(guó)和地區(qū)都在為了這一焦點(diǎn)作出努力，以下是一些保護(hù)軟件供應(yīng)鏈最需關(guān)注的措施和計(jì)劃。

01. 美國(guó)

1、網(wǎng)絡(luò)行政命令

大多美國(guó)軟件供應(yīng)鏈安全指南和要求，可以追溯到提升“國(guó)家網(wǎng)絡(luò)空間安全”14028行政命令。雖然14028沒(méi)有直接制定具體要求，但要求各機(jī)構(gòu)在后面作出相應(yīng)的指南。第四章著重強(qiáng)調(diào)了“提升軟件供應(yīng)鏈安全”并且向NIST(國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院)、OMB(管理和預(yù)算辦公室)、CISA(網(wǎng)絡(luò)空間和基礎(chǔ)設(shè)施安全局)提出了要求。

根據(jù)14028，管理和預(yù)算辦公室(OMB)發(fā)布了兩份備忘錄(22-18 和 23-16)，每份備忘錄都重點(diǎn)關(guān)注軟件供應(yīng)鏈安全，并開始推動(dòng)相關(guān)要求，如要求所有向美國(guó)聯(lián)邦政府銷售的軟件供應(yīng)商，開始自我證明遵循了安全軟件開發(fā)實(shí)踐，如 NIST 的安全軟件開發(fā)框架 (SSDF)。

它還要求在某些情況下使用 SBOM，甚至在機(jī)構(gòu)認(rèn)為風(fēng)險(xiǎn)足夠大時(shí)使用第三方評(píng)估機(jī)構(gòu)。

2、FDA 確保醫(yī)療器械的網(wǎng)絡(luò)安全/第 524B 節(jié)

醫(yī)療器械是美國(guó)特別關(guān)注的一個(gè)領(lǐng)域。

美國(guó)食品和藥物管理局(FDA)最新的要求，是在《聯(lián)邦食品、藥品和化妝品法案》(FD&C)第 524B 條中提出的。該條款要求醫(yī)療設(shè)備在上市前提交相關(guān)文件，記錄醫(yī)療器械系統(tǒng)的安全風(fēng)險(xiǎn)管理活動(dòng)，并指出除了漏洞評(píng)估和威脅建模等措施外，還需要 SBOM。它還特別指出了納入醫(yī)療設(shè)備的開源軟件組件的作用，以及應(yīng)從風(fēng)險(xiǎn)管理角度考慮的潛在風(fēng)險(xiǎn)。

3、SSDF

雖然 NIST 安全軟件開發(fā)框架 (SSDF) 本身并不是一項(xiàng)法規(guī)或合同要求，但美國(guó)在討論軟件供應(yīng)鏈安全問(wèn)題時(shí)，如果不觸及該框架，那將是不完整的。

14028要求中的另一個(gè)條款是由 NIST 和 OMB 編制更新的 SSDF，NIST 現(xiàn)已將其列為向美國(guó)聯(lián)邦政府銷售的軟件供應(yīng)商自我證明要求的一個(gè)關(guān)鍵。SSDF 利用了幾個(gè)現(xiàn)有的安全軟件開發(fā)框架，如 OWASP 的安全應(yīng)用成熟度模型 (SAMM) 和 Synopsys 的構(gòu)建安全成熟度模型 (BSIMM)，以交叉引用生產(chǎn)安全軟件應(yīng)遵循的實(shí)踐。

4、國(guó)家網(wǎng)絡(luò)戰(zhàn)略——軟件責(zé)任

2023 年發(fā)布的最新美國(guó)國(guó)家網(wǎng)絡(luò)戰(zhàn)略 (NCS)重點(diǎn)關(guān)注軟件供應(yīng)鏈安全，包括呼吁需要“重新平衡保衛(wèi)網(wǎng)絡(luò)空間的責(zé)任”。

將關(guān)注點(diǎn)從客戶和消費(fèi)者轉(zhuǎn)移到軟件供應(yīng)商，不僅是該戰(zhàn)略的關(guān)鍵主題，也是各機(jī)構(gòu)和領(lǐng)導(dǎo)者(如 CISA 在其 "安全設(shè)計(jì) "倡議中)的關(guān)鍵主題。NCS支柱三側(cè)重于塑造市場(chǎng)力量，以推動(dòng)安全性和復(fù)原力，并要求開展各種活動(dòng)，如讓數(shù)據(jù)管理人員承擔(dān)責(zé)任、推動(dòng)安全設(shè)備的開發(fā)，甚至還引入了 "軟件責(zé)任 "這一熱門話題。

5、2023 年開源軟件安全法案

美國(guó)聯(lián)邦政府與社會(huì)其他部門一樣，越來(lái)越依賴開源軟件。2022 年頒布的 "開源軟件安全法案"公開承認(rèn)了這一點(diǎn)。該法案承認(rèn)開放源碼軟件的重要性，并呼吁 CISA 等機(jī)構(gòu)直接參與OSS社區(qū)。它規(guī)定了 CISA 局長(zhǎng)在外聯(lián)和參與方面的責(zé)任，并幫助促進(jìn)提高OSS生態(tài)系統(tǒng)的安全性。

02. 歐盟

在歐盟方面，有一項(xiàng)立法成為全球頭條新聞，這就是《歐盟網(wǎng)絡(luò)彈性法案》。這是一項(xiàng)影響深遠(yuǎn)的綜合性立法，為涉及數(shù)字元素的產(chǎn)品供應(yīng)商和開發(fā)商制定了共同的網(wǎng)絡(luò)安全規(guī)則和要求。

該法案包括硬件和軟件以及任何具有 "數(shù)字元素 "的產(chǎn)品。與 GDPR 一樣，盡管該法案是在歐盟設(shè)計(jì)的，但由于適用于整個(gè)歐盟市場(chǎng)的產(chǎn)品，因此具有深遠(yuǎn)的影響，這些產(chǎn)品實(shí)際上可能并非最初在歐盟制造，而是在歐盟市場(chǎng)銷售。

該法案要求將網(wǎng)絡(luò)安全作為設(shè)計(jì)和開發(fā)具有數(shù)字元素的產(chǎn)品的一個(gè)關(guān)鍵因素，不遵守該法案的產(chǎn)品除被處以行政罰款外，還可能被限制在歐盟市場(chǎng)上銷售。

1、人工智能法案

緊隨《網(wǎng)絡(luò)彈性法案》之后的是《人工智能法案》，其重點(diǎn)是確保在歐盟市場(chǎng)上開發(fā)和使用可信人工智能系統(tǒng)的條件?！度斯ぶ悄芊ò浮芬?guī)定了各種可接受的風(fēng)險(xiǎn)等級(jí)，從無(wú)風(fēng)險(xiǎn)和最小風(fēng)險(xiǎn)到完全禁止某些用途，如導(dǎo)致侵犯人類尊嚴(yán)或操縱人類行為的用途。

該法案適用于在歐盟市場(chǎng)上銷售的人工智能系統(tǒng)或在歐盟使用的人工智能服務(wù)，再次顯示了其廣泛的適用范圍。被視為高風(fēng)險(xiǎn)系統(tǒng)的生產(chǎn)商將需要執(zhí)行各種風(fēng)險(xiǎn)管理和治理活動(dòng)，并自我證明其符合該法案的要求，不遵守該法案最高可導(dǎo)致全球營(yíng)業(yè)額的 4% 或數(shù)千萬(wàn)歐元的損失。

03. 加拿大

保護(hù)組織免受軟件供應(yīng)鏈威脅也是加拿大的首要任務(wù)。加拿大網(wǎng)絡(luò)安全中心 (CCCS) 協(xié)助出版了《改變網(wǎng)絡(luò)安全風(fēng)險(xiǎn)平衡：設(shè)計(jì)和默認(rèn)安全的原則和方法》。

它還將軟件供應(yīng)鏈攻擊確定為 CCCS 2023-2024國(guó)家網(wǎng)絡(luò)威脅評(píng)估中的一個(gè)關(guān)鍵問(wèn)題。CCCS 還在 2023 年發(fā)布了《保護(hù)您的組織免受軟件供應(yīng)鏈威脅》，為使用 SSC 的公司提供指導(dǎo)。

04. 澳大利亞

2023年3月，澳大利亞網(wǎng)絡(luò)安全中心(ACSC)發(fā)布了《軟件開發(fā)指南》，重點(diǎn)關(guān)注跨軟件開發(fā)生命周期和環(huán)境的各種安全控制。它還強(qiáng)調(diào)需要進(jìn)行應(yīng)用程序安全控制和測(cè)試來(lái)解決漏洞，并引用了 SBOM 的用例。澳大利亞還參加了國(guó)際“四方網(wǎng)絡(luò)安全伙伴關(guān)系：安全軟件聯(lián)合原則”。

05. 全球

盡管各國(guó)都在推動(dòng)本國(guó)的軟件安全議程，但全球范圍內(nèi)的努力也在悄然進(jìn)行。其中之一被稱為 "四方網(wǎng)絡(luò)安全伙伴關(guān)系"： 該文件于 2023 年 5 月發(fā)布，由美國(guó)、印度、日本和澳大利亞合作編寫。

其重點(diǎn)是在政府政策和供應(yīng)商軟件采購(gòu)中采用安全軟件開發(fā)實(shí)踐。它與 NIST 的 SSDF 的四個(gè)階段相一致，并談到了要求軟件生產(chǎn)商自我證明和必要時(shí)要求第三方認(rèn)證的原因。

* 本文為靳東東編譯，圖片均來(lái)源于網(wǎng)絡(luò)，無(wú)法聯(lián)系到版權(quán)持有者。如有侵權(quán)，請(qǐng)與后臺(tái)聯(lián)系，做刪除處理。

來(lái)源：數(shù)世咨詢