您所在的位置: 首頁(yè) >
新聞資訊 >
政策法規(guī) >
全球軟件供應(yīng)鏈安全指南和法規(guī)
軟件供應(yīng)商和用戶,都需要對(duì)有效抵御軟件供應(yīng)鏈攻擊的要求和法規(guī)越來(lái)越熟悉。
供應(yīng)鏈安全繼續(xù)在網(wǎng)絡(luò)安全領(lǐng)域受到重點(diǎn)關(guān)注,這是有充分理由的:SolarWinds、Log4j、Microsoft和Okta軟件供應(yīng)鏈攻擊等事件,持續(xù)影響著頭部軟件供應(yīng)商以及廣泛使用的開源軟件組件,這種擔(dān)憂是全球性的。
隨著各國(guó)政府尋求降低軟件供應(yīng)鏈攻擊的風(fēng)險(xiǎn),世界各地的法規(guī)和要求正在不斷發(fā)展,安全設(shè)計(jì)、安全軟件開發(fā)、軟件責(zé)任和自我證明以及第三方認(rèn)證等正在成為主要話題。
軟件供應(yīng)商需要更加了解當(dāng)?shù)氐淖兓?。由于攻擊者所利用的軟件供?yīng)商十分廣泛,這些要求旨在幫助減輕軟件供應(yīng)鏈攻擊給國(guó)家和政府帶來(lái)的風(fēng)險(xiǎn)。全球各國(guó)和地區(qū)都在為了這一焦點(diǎn)作出努力,以下是一些保護(hù)軟件供應(yīng)鏈最需關(guān)注的措施和計(jì)劃。
01. 美國(guó)
1、網(wǎng)絡(luò)行政命令
大多美國(guó)軟件供應(yīng)鏈安全指南和要求,可以追溯到提升“國(guó)家網(wǎng)絡(luò)空間安全”14028行政命令。雖然14028沒有直接制定具體要求,但要求各機(jī)構(gòu)在后面作出相應(yīng)的指南。第四章著重強(qiáng)調(diào)了“提升軟件供應(yīng)鏈安全”并且向NIST(國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院)、OMB(管理和預(yù)算辦公室)、CISA(網(wǎng)絡(luò)空間和基礎(chǔ)設(shè)施安全局)提出了要求。
根據(jù)14028,管理和預(yù)算辦公室(OMB)發(fā)布了兩份備忘錄(22-18 和 23-16),每份備忘錄都重點(diǎn)關(guān)注軟件供應(yīng)鏈安全,并開始推動(dòng)相關(guān)要求,如要求所有向美國(guó)聯(lián)邦政府銷售的軟件供應(yīng)商,開始自我證明遵循了安全軟件開發(fā)實(shí)踐,如 NIST 的安全軟件開發(fā)框架 (SSDF)。
它還要求在某些情況下使用 SBOM,甚至在機(jī)構(gòu)認(rèn)為風(fēng)險(xiǎn)足夠大時(shí)使用第三方評(píng)估機(jī)構(gòu)。
2、FDA 確保醫(yī)療器械的網(wǎng)絡(luò)安全/第 524B 節(jié)
醫(yī)療器械是美國(guó)特別關(guān)注的一個(gè)領(lǐng)域。
美國(guó)食品和藥物管理局(FDA)最新的要求,是在《聯(lián)邦食品、藥品和化妝品法案》(FD&C)第 524B 條中提出的。該條款要求醫(yī)療設(shè)備在上市前提交相關(guān)文件,記錄醫(yī)療器械系統(tǒng)的安全風(fēng)險(xiǎn)管理活動(dòng),并指出除了漏洞評(píng)估和威脅建模等措施外,還需要 SBOM。它還特別指出了納入醫(yī)療設(shè)備的開源軟件組件的作用,以及應(yīng)從風(fēng)險(xiǎn)管理角度考慮的潛在風(fēng)險(xiǎn)。
3、SSDF
雖然 NIST 安全軟件開發(fā)框架 (SSDF) 本身并不是一項(xiàng)法規(guī)或合同要求,但美國(guó)在討論軟件供應(yīng)鏈安全問(wèn)題時(shí),如果不觸及該框架,那將是不完整的。
14028要求中的另一個(gè)條款是由 NIST 和 OMB 編制更新的 SSDF,NIST 現(xiàn)已將其列為向美國(guó)聯(lián)邦政府銷售的軟件供應(yīng)商自我證明要求的一個(gè)關(guān)鍵。SSDF 利用了幾個(gè)現(xiàn)有的安全軟件開發(fā)框架,如 OWASP 的安全應(yīng)用成熟度模型 (SAMM) 和 Synopsys 的構(gòu)建安全成熟度模型 (BSIMM),以交叉引用生產(chǎn)安全軟件應(yīng)遵循的實(shí)踐。
4、國(guó)家網(wǎng)絡(luò)戰(zhàn)略——軟件責(zé)任
2023 年發(fā)布的最新美國(guó)國(guó)家網(wǎng)絡(luò)戰(zhàn)略 (NCS)重點(diǎn)關(guān)注軟件供應(yīng)鏈安全,包括呼吁需要“重新平衡保衛(wèi)網(wǎng)絡(luò)空間的責(zé)任”。
將關(guān)注點(diǎn)從客戶和消費(fèi)者轉(zhuǎn)移到軟件供應(yīng)商,不僅是該戰(zhàn)略的關(guān)鍵主題,也是各機(jī)構(gòu)和領(lǐng)導(dǎo)者(如 CISA 在其 "安全設(shè)計(jì) "倡議中)的關(guān)鍵主題。NCS支柱三側(cè)重于塑造市場(chǎng)力量,以推動(dòng)安全性和復(fù)原力,并要求開展各種活動(dòng),如讓數(shù)據(jù)管理人員承擔(dān)責(zé)任、推動(dòng)安全設(shè)備的開發(fā),甚至還引入了 "軟件責(zé)任 "這一熱門話題。
5、2023 年開源軟件安全法案
美國(guó)聯(lián)邦政府與社會(huì)其他部門一樣,越來(lái)越依賴開源軟件。2022 年頒布的 "開源軟件安全法案"公開承認(rèn)了這一點(diǎn)。該法案承認(rèn)開放源碼軟件的重要性,并呼吁 CISA 等機(jī)構(gòu)直接參與OSS社區(qū)。它規(guī)定了 CISA 局長(zhǎng)在外聯(lián)和參與方面的責(zé)任,并幫助促進(jìn)提高OSS生態(tài)系統(tǒng)的安全性。
02. 歐盟
在歐盟方面,有一項(xiàng)立法成為全球頭條新聞,這就是《歐盟網(wǎng)絡(luò)彈性法案》。這是一項(xiàng)影響深遠(yuǎn)的綜合性立法,為涉及數(shù)字元素的產(chǎn)品供應(yīng)商和開發(fā)商制定了共同的網(wǎng)絡(luò)安全規(guī)則和要求。
該法案包括硬件和軟件以及任何具有 "數(shù)字元素 "的產(chǎn)品。與 GDPR 一樣,盡管該法案是在歐盟設(shè)計(jì)的,但由于適用于整個(gè)歐盟市場(chǎng)的產(chǎn)品,因此具有深遠(yuǎn)的影響,這些產(chǎn)品實(shí)際上可能并非最初在歐盟制造,而是在歐盟市場(chǎng)銷售。
該法案要求將網(wǎng)絡(luò)安全作為設(shè)計(jì)和開發(fā)具有數(shù)字元素的產(chǎn)品的一個(gè)關(guān)鍵因素,不遵守該法案的產(chǎn)品除被處以行政罰款外,還可能被限制在歐盟市場(chǎng)上銷售。
1、人工智能法案
緊隨《網(wǎng)絡(luò)彈性法案》之后的是《人工智能法案》,其重點(diǎn)是確保在歐盟市場(chǎng)上開發(fā)和使用可信人工智能系統(tǒng)的條件。《人工智能法案》規(guī)定了各種可接受的風(fēng)險(xiǎn)等級(jí),從無(wú)風(fēng)險(xiǎn)和最小風(fēng)險(xiǎn)到完全禁止某些用途,如導(dǎo)致侵犯人類尊嚴(yán)或操縱人類行為的用途。
該法案適用于在歐盟市場(chǎng)上銷售的人工智能系統(tǒng)或在歐盟使用的人工智能服務(wù),再次顯示了其廣泛的適用范圍。被視為高風(fēng)險(xiǎn)系統(tǒng)的生產(chǎn)商將需要執(zhí)行各種風(fēng)險(xiǎn)管理和治理活動(dòng),并自我證明其符合該法案的要求,不遵守該法案最高可導(dǎo)致全球營(yíng)業(yè)額的 4% 或數(shù)千萬(wàn)歐元的損失。
03. 加拿大
保護(hù)組織免受軟件供應(yīng)鏈威脅也是加拿大的首要任務(wù)。加拿大網(wǎng)絡(luò)安全中心 (CCCS) 協(xié)助出版了《改變網(wǎng)絡(luò)安全風(fēng)險(xiǎn)平衡:設(shè)計(jì)和默認(rèn)安全的原則和方法》。
它還將軟件供應(yīng)鏈攻擊確定為 CCCS 2023-2024國(guó)家網(wǎng)絡(luò)威脅評(píng)估中的一個(gè)關(guān)鍵問(wèn)題。CCCS 還在 2023 年發(fā)布了《保護(hù)您的組織免受軟件供應(yīng)鏈威脅》,為使用 SSC 的公司提供指導(dǎo)。
04. 澳大利亞
2023年3月,澳大利亞網(wǎng)絡(luò)安全中心(ACSC)發(fā)布了《軟件開發(fā)指南》,重點(diǎn)關(guān)注跨軟件開發(fā)生命周期和環(huán)境的各種安全控制。它還強(qiáng)調(diào)需要進(jìn)行應(yīng)用程序安全控制和測(cè)試來(lái)解決漏洞,并引用了 SBOM 的用例。澳大利亞還參加了國(guó)際“四方網(wǎng)絡(luò)安全伙伴關(guān)系:安全軟件聯(lián)合原則”。
05. 全球
盡管各國(guó)都在推動(dòng)本國(guó)的軟件安全議程,但全球范圍內(nèi)的努力也在悄然進(jìn)行。其中之一被稱為 "四方網(wǎng)絡(luò)安全伙伴關(guān)系": 該文件于 2023 年 5 月發(fā)布,由美國(guó)、印度、日本和澳大利亞合作編寫。
其重點(diǎn)是在政府政策和供應(yīng)商軟件采購(gòu)中采用安全軟件開發(fā)實(shí)踐。它與 NIST 的 SSDF 的四個(gè)階段相一致,并談到了要求軟件生產(chǎn)商自我證明和必要時(shí)要求第三方認(rèn)證的原因。
* 本文為靳東東編譯,圖片均來(lái)源于網(wǎng)絡(luò),無(wú)法聯(lián)系到版權(quán)持有者。如有侵權(quán),請(qǐng)與后臺(tái)聯(lián)系,做刪除處理。
來(lái)源:數(shù)世咨詢