你并不了解真实的台湾

发生在上海,出现挤兑潮?

彻底失望,气得我一夜睡不着觉,从今天开始我支持武统

100部BL动漫大放送(上篇)

H游戏只知道《尾行》?弱爆了!丨BB IN

生成图片,分享到微信朋友圈

自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制

Tim Starks 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

美国政府目前正考虑对美国软件实施网络安全评级和标准制度。据一名白宫高级官员介绍,类似于纽约市对饭店进行卫生情况评级或新加坡对物联网设备进行标记等。


这名要求匿名的官员指出,未来几周,将会就仍然还在影响美国安全的 SolarWinds 供应链攻击和微软 Exchange Server 漏洞利用,出台一些相关行政措施。

政府在网络安全进行标记和评级的概念并非全新概念。长期以来,一些专家一直希望能够拥有类似于美国环境保护署和能源部用于推广节能设备计划的“能源之星 (Energy Star)“的评级系统。比如,网络安全日光室委员会 (Cybersecurity Solarium Commission) 就在去年建议国会成立国家网络安全认证和标签管理局。

该委员会的提案适用于自愿标记的情况,就像“能源之星“和新加坡的物联网标记倡议那样。然而,如果白宫效方纽约市对饭店进行评级的做法,则该提案是强制性的,而且它的实施会遭到行业的坚决反对,而这名官员注意到,在纽约市市长 Michael Bloomberg 强制饭店在窗口包含评分卡之前,这项举措并未产生任何效果。

这名官员指出,某些技术成本“产生在事件响应和清理工作中,而如果我们一开始就正确地构建技术,那么我们认为成本会降低。“

这名匿名官员指出,和新加坡的标签提案相比,在美国,“我们并不具备那种透明度,可让人们‘活跃网络安全市场’。”


SolarWinds和微软 Exchange Server 事件动态



这名官员指出,在 SolarWinds 软件供应链事件中遭攻陷的多数机构已经按照白宫指令完成修复以及后续独立审计,以确保攻击者脱离系统,其余机构有望在三月底完成。

不久,美国政府将开始推出“最佳商业”技术,聚焦受 SolarWinds 事件影响的9个机构,对联邦机构进行现代化改革。

这名官员还表示,白宫定期举行关于 SolarWinds 软件供应链事件和微软 Exchange Server 事件的会议,上周,美国总统拜登也获悉微软事件。为应对微软入侵事件,网络统一协调小组 (UCG) 紧急召开会议并首次邀请私营行业参加。白宫曾在2020年12月召开UCG 会议,应对 SolarWinds 软件供应链事件。

然而,“此时“白宫要求其它机构监控国内系统,并将其视作私营企业的责任。

这名官员还指出,白宫将出台关于 SolarWinds 软件供应链攻击事件的措施,并指出可能是在“几周而非几个月“后出台,但实际上这种说辞已经存在三周之久。





推荐阅读
邮件安全上市公司 Mimecast 的部分源代码被 SolarWinds 黑客盗走
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
奇安信开源卫士率先通过可信开源治理工具评估
奇安信开源组件安全治理解决方案——开源卫士



参考链接

https://www.cyberscoop.com/biden-administration-cybersecurity-ratings-solarwinds-microsoft-update/


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~

文章有问题?点此查看未经处理的缓存