全球软件供应链安全指南和法规概览
编译:代码卫士
供应链安全仍备受网络安全领域的极大关注,而这也实属正常:SolarWinds、Log4j、Microsoft和 OKta 等软件供应链攻击仍然影响着领先的专有软件厂商和使用广泛的开源软件组件。
这种担忧是全球性的。政府寻求缓解软件供应链攻击风险,设计安全、软件安全开发、软件责任和自认证以及第三方认证等话题仍然占据主宰地位,全球各国的法规和要求不断发展变化。
随着局势的不断发展,软件供应商将越发需要熟悉这些要求。随着攻击者寻求利用广为使用的软件供应商,这些要求旨在帮助缓解全球政府和国家所遭受的软件供应链攻击风险。
从制定国内安全软件要求的国家行动到旨在削弱这一国际危险的全球协作,如下是一些最引人注目的旨在保护软件供应链安全的倡议和计划。
美国
(1) 网络行政令
美国的很多软件供应链安全指南和要求都可追溯至行政令14028《关于提升国家网络安全的行政令》。虽然行政令本身并不会制定很多相关要求,但却为多数要求制定了指南。尤其是第四节,它关注“提升软件供应链安全”以及为美国国家标准与技术研究院 (NIST)、管理和预算办公室 (OMB)、网络安全和基础设施安全局 (CISA) 等提出了要求。
(2) OMB 22-18和23-16
根据网络行政令的要求,OMB 发布了两份备忘录即22-18和23-16,它们都关注软件供应链安全并开始提出要求,如要求所有向美国联邦政府出售产品的软件供应商开始自我认证如下软件安全开发实践:如NIST 发布的软件安全开发框架 (SSDF)。它还呼吁在某些情况下使用SBOMs,甚至是在机构认为风险足够严重的情况下,要求使用第三方评估机构。
(3)FDA 确保医疗设备的网络安全/第524B节
医疗设备受到美国的特别关注。最近,美国食品和药品管理局 (FDA) 在《联邦食品、药品和化妆品 (FD&C) 法案》的第524B 节中提出了新要求。
该要求与医疗设备的预上市提交有关,除了漏洞评估和威胁建模等活动外,它要求记录医疗设备系统的安全风险管理活动并呼吁提供 SBOM的必要性。
它还呼吁被集成到医疗设备中的开源软件组件的角色及应当从风险管理角度考虑的潜在风险。
(4)SSDF
虽然SSDF 本身并非法规要求或合同要求,但如果不涉及NIST 软件安全开发框架(SSDF),那么针对美国软件供应链安全的讨论是不完整的。
网络行政令要求的另一项内容是NIST生产更新的SSDF和OMB,NIST 现已将SSDF 视为向美国联邦政府出售产品的软件供应商的自认证要求的关键方面。SSDF利用多个现有的软件安全开发框架如 OWASP的安全应用成熟度模型 (SAMM) 和 Synopsys 公司的构建安全成熟度模型 (BSIMM),来交叉引用生产安全软件时应当遵守的实践。
(5)国家网络战略——软件责任
发布于2023年的最新美国国家网络战略 (NCS) 对软件供应链安全的关注非常多,包括呼吁“重新平衡防御网络空间安全责任”的必要性。
将关注点从客户和消费者一方转向软件供应商不仅是美国国家网络战略的关键主题,也是多家机构和领导部门如CISA等在“设计安全”倡议中的关键主题。美国国家网络战略的第三支柱侧重于通过塑造市场力量来驱动安全和弹性,呼吁开展各项活动如追究数据管理者的责任和推动安全设备的开发,甚至引入了备受争议的“软件责任”话题。
(6)2023 开源软件保护法案
美国联邦政府和其它政府一样,越来越多地依赖于开源软件。这在2022年发布的《保护开源软件法案》中得到了证实。该法案阐述了开源软件的重要性并呼吁CISA等机构直接加入OSS社区。该法案在影响力和参与度方面提出了CISA的责任,帮助提升OSS生态系统的安全性。
欧盟
(1) 网络弹性法案
在欧盟,成为世界头条的一项立法是《欧盟弹性法案》。
该法案影响深远且全面,列出了包括数字化元素的产品的供应商和开发人员需要遵守的常见网络安全法规和要求。该法案包括硬件和软件以及含有“数字化元素”的任何产品。与GDPR很类似的一点是,即使是在欧盟设计的,但它影响深远,实际上适用于欧盟市场上的所有产品,尽管这些产品可能最初并非在欧盟构建只是在欧盟市场出售。
该法案要求网络安全性成为含有数字化元素产品的设计和开发的关键因素,如不合规,则除了承担行政罚款外,还可导致产品被限制进入欧盟市场。
(2) 人工智能法案
另外一项备受全球关注的法案是欧盟的《AI法案》。该法案旨在确保开发和使用可信AI系统的条件在欧盟市场得到实现。《AI法案》列出了多种可接受的风险级别,从低风险、最小风险到禁止某些用途(如可导致侵犯人类尊严或操纵人类行为)各不相同。
该法案适用于市场上的AI系统或用于欧盟的服务,这再次说明了该法案的广泛影响。高风险系统的生产商将需要执行多种风险管理和治理活动,并自我证明它们与法案的一致性,而如果未能遵守法案,则可能导致4%的全球收入或数千万欧元作为罚款。
加拿大
保护组织机构免受软件供应链威胁也是加拿大的一项关键优先任务。
加拿大网络安全中心 (CCCS) 发布《改变网络安全风险的平衡:设计和默认安全的原则和方法》。
CCCS还在 2023-2024年度的《国家网络威胁评估》中将软件供应链攻击视作一个关键问题。另外,CCCS在2023年发布《保护组织机构免遭软件供应链威胁》报告,为使用软件供应链的企业提供指南。
澳大利亚
2023年3月,澳大利亚网络安全中心 (ACSC) 发布《软件开发指南》,关注软件开发生命周期和环境中的多种安全控制。它还强调了应用安全控制和测试在修复漏洞中发挥的重要作用并引用了SBOMs的用例。
澳大利亚还参与了国际计划“四方网络安全合作伙伴关系:安全软件的联合原则”。
全球合作
每个国家都在国内推进软件安全,与此同时也存在一些全球合作。
其中一个就是“四方网络安全合作伙伴关系:安全软件的联合原则”。它发布于2023年5月,由美国、印度、日本和澳大利亚合作完成,旨在推进政府政策和供应商的软件采购中采用软件安全开发实践。它符合NIST 的SSDF 四个步骤,与要求软件生产商的自认证甚至是第三方认证有关。
YAML出现严重的反序列化漏洞,谷歌TensorFlow将采用 JSON
英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。