美国防部担心开源代码漏洞危害五角大楼供应链安全，计划审查软件来源

在近期举行的 CyberCon 大会上，美国联邦政府官员告警称，只凭软件是从美国公司购买的，并不意味着所有的代码都是在美国编写的。美国国安局前官员兼陆军前官员、现为五角大楼首席信息官 Dana Deasy担任风险评估和运营集成总监一职的 Michele Iversen 表示，由于可复用代码中漏洞和后门的不断增多，五角大楼正在开发能够追踪软件来源的工具。

美国联邦政府安全专家指出，政府通过遵循一些基本的采购做法就能够在确保IT供应链安全方面取得重大进步，但多数机构尚未付出行动。虽然联邦政府领导人最近非常重视外国供应商所带来的供应链安全问题，但必须在改革政府采购政策上付出同等努力才能化警告为硕果。这些努力要求深入理解政府 IT 基础架构以及其供应商池中的无数企业，但这些工作对于多数机构而言仍然是一种挑战。

专家认为承担政府业务的公司数以万计，而为这些公司提供支持的公司更多。这些公司都会带来一系列潜在风险如间谍威胁、糟糕的软件开发实践，而采购官员并不一定清楚值得信任的公司是哪些。软件开发者通常会将工作外包给国外公司，从开源库中下载工具或者只是从现有软件中复制粘贴代码，而不会检查编写软件的源头在哪里，甚至根本不理解软件的运行方式。

为解决这些风险，美国国防部对武器系统等关键项目的供应商开展审查，但 Iversen 表示对于更标准的采购活动并不一定总是开展同等的审查活动。她指出会促使国防部更加严密地审查为供应商提供支持的公司以及它们产品的来源是哪里。由于很多这类信息可公开获取，因此她的团队正在构建一款工具，以使这类信息更加容易获取。

Iversen 指出，“我希望能在2020财年开展一些试点工作。因为目前处于持续性决议阶段（注：在美国，持续性决议即 Continuing Resolution，是一项拨款立法，允许政府组织在预算批准尚未确定时继续运行。一般起始时间是每年的10月份到来年的9月份），因此目前尚不清楚我们什么时候能获得资金支持。”

Iversen所述的工具是“决策支持工具”。她希望购买一款软件，能够告诉用户有意购买的软件是否值得信任。因此，问题在于，谁来监督监督者？如何确保审查系统本身经过了严格审查？

Iversen 表示，“市面上有很多商用功能提供商”，自己和团队最近通过一整天的“市场分析日”和潜在的供应商会面，但仍然未能和所有想约见的供应商一一碰面。

Iversen 指出，事实证明，整个新型行业中有很多信誉卓著的私营企业，它们具有“超凡的”能力，能够层层追踪供应链，直至追踪到最小的组成部分为止。她补充道，更好的一点是，这些企业通过梳理公开可用的数据开展尽职调查。任何人都可以交叉核对这些数据，而且数据很容易找到，同时也能够在不违反任何安全法规的情况下在国防部自由地分享。

但这些私营企业提供的服务并不免费。Iversen 表示，“我看到项目办公室自己在购买一些这样的工具”。她指出自己所在的办公室目前正在开展关于多个采购项目中供应链安全的试点计划。但小型采购活动因为预算、人力和时间有限——尤其是遇到需要快速采购且不断变化的对象如软件的情况时更是如此——因此无力自行承担高端的审查服务。

因此，Iversen 尚未成熟的构想对于五角大楼首席信息官办公室购买一种或多种领先的审查服务，然后为整个国防部的需求人至少按需提供基本信息就显得非常重要。Iversen 表示虽然尚未决定将使用何种服务，“很显然它将成为一项具有竞争力的投标”，不过按照有意审查的软件数量来收费的公司要比按照获取审查信息的人头来收费的公司更具吸引力，因为国防部有很多用户会请求获取同一款软件程序的信息。

Iversen指出，这款决策工具关注的焦点是使用广泛的商业可用的“商品”，而不是专门为大型程序而定制的软件。她指出，“当你买卡或开展一些简化的采购活动时，你可以借助这款服务来查找一些资料并得出排名市场第一的程序出自此处而排名第二的程序出自彼处的结论。之后就能够做出到底是否冒这个风险的决策了。不同的程序能够也应该具备不同的风险容忍度，甚至同一程序的不同函数所要求的安全性也有高有低。例如，如果俄罗斯或中国黑客入侵了你的旅游管理应用程序，结果是糟糕的；但是相对于访问卫星或核武器而言并没有那么糟糕。”她在会议上表示，如果购买的软件是在俄罗斯开发的，那么根据俄罗斯的法律规定，俄罗斯国家安全局 (FSB) 能够监控所有网络的活动，而如果这些软件事关核武器指挥控制系统或导弹系统，那么风险是巨大的，因此在部署设备或软件时需要先分析。

Iversen 表示，比起以同等的力度保护一切，认真仔细地分析到底什么是关键敏感的信息更为重要。之后，负责采购的官员才能够做出充分的决策，并且将供应链安全高标准写入对合同承包商的评选标准中。

https://breakingdefense.com/2019/11/dod-asks-who-really-wrote-your-code/

https://www.nextgov.com/cybersecurity/2019/11/supply-chain-security-requires-acquisition-reform-security-experts-say/161251/