您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
全球軟件供應鏈安全指南和法規(guī)
軟件供應商和用戶,都需要對有效抵御軟件供應鏈攻擊的要求和法規(guī)越來越熟悉。
供應鏈安全繼續(xù)在網(wǎng)絡安全領域受到重點關注,這是有充分理由的:SolarWinds、Log4j、Microsoft和Okta軟件供應鏈攻擊等事件,持續(xù)影響著頭部軟件供應商以及廣泛使用的開源軟件組件,這種擔憂是全球性的。
隨著各國政府尋求降低軟件供應鏈攻擊的風險,世界各地的法規(guī)和要求正在不斷發(fā)展,安全設計、安全軟件開發(fā)、軟件責任和自我證明以及第三方認證等正在成為主要話題。
軟件供應商需要更加了解當?shù)氐淖兓S捎诠粽咚玫能浖淌謴V泛,這些要求旨在幫助減輕軟件供應鏈攻擊給國家和政府帶來的風險。全球各國和地區(qū)都在為了這一焦點作出努力,以下是一些保護軟件供應鏈最需關注的措施和計劃。
01. 美國
1、網(wǎng)絡行政命令
大多美國軟件供應鏈安全指南和要求,可以追溯到提升“國家網(wǎng)絡空間安全”14028行政命令。雖然14028沒有直接制定具體要求,但要求各機構在后面作出相應的指南。第四章著重強調(diào)了“提升軟件供應鏈安全”并且向NIST(國家標準和技術研究院)、OMB(管理和預算辦公室)、CISA(網(wǎng)絡空間和基礎設施安全局)提出了要求。
根據(jù)14028,管理和預算辦公室(OMB)發(fā)布了兩份備忘錄(22-18 和 23-16),每份備忘錄都重點關注軟件供應鏈安全,并開始推動相關要求,如要求所有向美國聯(lián)邦政府銷售的軟件供應商,開始自我證明遵循了安全軟件開發(fā)實踐,如 NIST 的安全軟件開發(fā)框架 (SSDF)。
它還要求在某些情況下使用 SBOM,甚至在機構認為風險足夠大時使用第三方評估機構。
2、FDA 確保醫(yī)療器械的網(wǎng)絡安全/第 524B 節(jié)
醫(yī)療器械是美國特別關注的一個領域。
美國食品和藥物管理局(FDA)最新的要求,是在《聯(lián)邦食品、藥品和化妝品法案》(FD&C)第 524B 條中提出的。該條款要求醫(yī)療設備在上市前提交相關文件,記錄醫(yī)療器械系統(tǒng)的安全風險管理活動,并指出除了漏洞評估和威脅建模等措施外,還需要 SBOM。它還特別指出了納入醫(yī)療設備的開源軟件組件的作用,以及應從風險管理角度考慮的潛在風險。
3、SSDF
雖然 NIST 安全軟件開發(fā)框架 (SSDF) 本身并不是一項法規(guī)或合同要求,但美國在討論軟件供應鏈安全問題時,如果不觸及該框架,那將是不完整的。
14028要求中的另一個條款是由 NIST 和 OMB 編制更新的 SSDF,NIST 現(xiàn)已將其列為向美國聯(lián)邦政府銷售的軟件供應商自我證明要求的一個關鍵。SSDF 利用了幾個現(xiàn)有的安全軟件開發(fā)框架,如 OWASP 的安全應用成熟度模型 (SAMM) 和 Synopsys 的構建安全成熟度模型 (BSIMM),以交叉引用生產(chǎn)安全軟件應遵循的實踐。
4、國家網(wǎng)絡戰(zhàn)略——軟件責任
2023 年發(fā)布的最新美國國家網(wǎng)絡戰(zhàn)略 (NCS)重點關注軟件供應鏈安全,包括呼吁需要“重新平衡保衛(wèi)網(wǎng)絡空間的責任”。
將關注點從客戶和消費者轉移到軟件供應商,不僅是該戰(zhàn)略的關鍵主題,也是各機構和領導者(如 CISA 在其 "安全設計 "倡議中)的關鍵主題。NCS支柱三側重于塑造市場力量,以推動安全性和復原力,并要求開展各種活動,如讓數(shù)據(jù)管理人員承擔責任、推動安全設備的開發(fā),甚至還引入了 "軟件責任 "這一熱門話題。
5、2023 年開源軟件安全法案
美國聯(lián)邦政府與社會其他部門一樣,越來越依賴開源軟件。2022 年頒布的 "開源軟件安全法案"公開承認了這一點。該法案承認開放源碼軟件的重要性,并呼吁 CISA 等機構直接參與OSS社區(qū)。它規(guī)定了 CISA 局長在外聯(lián)和參與方面的責任,并幫助促進提高OSS生態(tài)系統(tǒng)的安全性。
02. 歐盟
在歐盟方面,有一項立法成為全球頭條新聞,這就是《歐盟網(wǎng)絡彈性法案》。這是一項影響深遠的綜合性立法,為涉及數(shù)字元素的產(chǎn)品供應商和開發(fā)商制定了共同的網(wǎng)絡安全規(guī)則和要求。
該法案包括硬件和軟件以及任何具有 "數(shù)字元素 "的產(chǎn)品。與 GDPR 一樣,盡管該法案是在歐盟設計的,但由于適用于整個歐盟市場的產(chǎn)品,因此具有深遠的影響,這些產(chǎn)品實際上可能并非最初在歐盟制造,而是在歐盟市場銷售。
該法案要求將網(wǎng)絡安全作為設計和開發(fā)具有數(shù)字元素的產(chǎn)品的一個關鍵因素,不遵守該法案的產(chǎn)品除被處以行政罰款外,還可能被限制在歐盟市場上銷售。
1、人工智能法案
緊隨《網(wǎng)絡彈性法案》之后的是《人工智能法案》,其重點是確保在歐盟市場上開發(fā)和使用可信人工智能系統(tǒng)的條件。《人工智能法案》規(guī)定了各種可接受的風險等級,從無風險和最小風險到完全禁止某些用途,如導致侵犯人類尊嚴或操縱人類行為的用途。
該法案適用于在歐盟市場上銷售的人工智能系統(tǒng)或在歐盟使用的人工智能服務,再次顯示了其廣泛的適用范圍。被視為高風險系統(tǒng)的生產(chǎn)商將需要執(zhí)行各種風險管理和治理活動,并自我證明其符合該法案的要求,不遵守該法案最高可導致全球營業(yè)額的 4% 或數(shù)千萬歐元的損失。
03. 加拿大
保護組織免受軟件供應鏈威脅也是加拿大的首要任務。加拿大網(wǎng)絡安全中心 (CCCS) 協(xié)助出版了《改變網(wǎng)絡安全風險平衡:設計和默認安全的原則和方法》。
它還將軟件供應鏈攻擊確定為 CCCS 2023-2024國家網(wǎng)絡威脅評估中的一個關鍵問題。CCCS 還在 2023 年發(fā)布了《保護您的組織免受軟件供應鏈威脅》,為使用 SSC 的公司提供指導。
04. 澳大利亞
2023年3月,澳大利亞網(wǎng)絡安全中心(ACSC)發(fā)布了《軟件開發(fā)指南》,重點關注跨軟件開發(fā)生命周期和環(huán)境的各種安全控制。它還強調(diào)需要進行應用程序安全控制和測試來解決漏洞,并引用了 SBOM 的用例。澳大利亞還參加了國際“四方網(wǎng)絡安全伙伴關系:安全軟件聯(lián)合原則”。
05. 全球
盡管各國都在推動本國的軟件安全議程,但全球范圍內(nèi)的努力也在悄然進行。其中之一被稱為 "四方網(wǎng)絡安全伙伴關系": 該文件于 2023 年 5 月發(fā)布,由美國、印度、日本和澳大利亞合作編寫。
其重點是在政府政策和供應商軟件采購中采用安全軟件開發(fā)實踐。它與 NIST 的 SSDF 的四個階段相一致,并談到了要求軟件生產(chǎn)商自我證明和必要時要求第三方認證的原因。
* 本文為靳東東編譯,圖片均來源于網(wǎng)絡,無法聯(lián)系到版權持有者。如有侵權,請與后臺聯(lián)系,做刪除處理。
來源:數(shù)世咨詢