查看原文
其他

美国总统行政令要求增强软件供应链安全

Sonatype 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

最新颁布、期待颇高的网络安全行政令是美国联邦政府试图保护美国软件供应链安全采取的最强劲措施。这是史无前例的规定:要求向联邦政府出售软件的任何企业不仅提供应用程序,而且还必须提供软件物料清单 (SBOM),提供组成该应用程序组件的透明度。


这次行政令的颁发时间节点并非巧合,最近刚发生了 SolarWinds 和 Codecov 软件供应链攻击事件,针对开源项目的攻击增长了430%,而且其颁发日正好是因美国最大的石油管道公司之一 Colonial Pipelines 遭攻击而导致美国人出现大规模用油短缺之时。


行政令中关于 SBOMs 和安全开发的内容


该行政令要求美国商务部下属机构国家标准技术局(NIST)在6个月内发布软件供应链安全指南,并在1年内发布最终指南。该指南的内容应该包括如何检查漏洞、如何查找缺陷证据、如何确保开源代码和源代码的最新来源,以及如何使用自动化工具验证可信代码的指导。


什么是软件物料清单 (SBOM)?


SBOM 是关于组成软件应用的成分(组件)清单。

当前,太多企业并不清楚自己软件中使用了什么组件,多数企业竟然甚至连看都不看一眼。实际上,当前不到50% 的企业将SBOM 作为标准的软件开发实践。同时,和应用程序中所使用的开源软件组件相关的数据泄露事件每年影响五分之一的组织机构。

任何安全计划的一个基本原则就是了解系统中出现的组件、和这些组件相关的风险以及这种风险的相对严重性。对于软件应用程序而言,它要求组织机构具有 SBOM 以及对组织机构中出现的开源组件完全可见。SBOM 是可以实现这些目标的唯一方法。

如果不具备 SBOM,则意味着企业无法了解软件应用程序中含有哪些已知的开源组件。另外,没有 SBOM,则这些企业注定要挣扎,就像 Equifax 在2017年所经历的那样,来应对开源组件中暴露的 0day 漏洞。每年约有10000多个漏洞公开,而为生产应用配齐 SBOM 有10000个非常重要的理由。


行政令的重要性是什么?


简言之,这份行政令之所以重要,是因为美国联邦政府试图通过联邦采购的力量来塑造整个软件市场。

正如《华盛顿邮报》援引律所 Venable 公司的网络安全策略管理董事 Ari Schwartz 的话提到,“这份行政令对私营企业具有重大影响。在如此众多得计算机安全领域,联邦政府做什么,私营企业就会紧随其后。联邦政府所提的要求可能将成为所有软件的标准,不只影响美国,而且影响全球。“










推荐阅读
Rapid7 部分源代码遭泄露,成 Codecov 供应链攻击第四个受害者
PHP Composer 新漏洞可引发大规模供应链攻击
美国 CISA 和 NIST 联合发布软件供应链攻击相关风险及缓解措施
详解通过 GitHub.com releases 可实施供应链攻击
详细分析PHP源代码后门事件及其供应链安全启示
白宫提议立法加固数字供应链安全
为增强供应链安全,美国将设立“国家供应链完整性之月”
拜登签署行政令,要求保护美国关键供应链(含信息技术)的安全




原文链接

https://blog.sonatype.com/biden-executive-order-on-cybersecurity-calls-for-enhanced-software-supply-chain-security


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存