网络安全行政命令:保护软件供应链

中科天齐软件源代码安全检测中心

共 2097字,需浏览 5分钟

 ·

2021-08-13 11:38

美国于2021年5月12日发布了《关于改善国家网络安全》的第14028号行政命令(EO),明确要求美国联邦政府加强软件供应链安全管控。为响应号召,国家标准与技术研究所(NIST)于2021年6月25日发布了《Definition of Critical Software UnderExecutive Order(EO)14028(行政命令14028下的“关键软件”定义)》,并于2021年7月9日发布了《SecurityMeasures for “EO-Critical Software” Use Under Executive Order(EO)14028(“EO关键软件”使用的安全措施)》,这表明美国正逐步推进EO行政命令的执行。按照下图《EO第4节任务及时间线》,美国正逐步发布“关键软件”的相关要求及指南,并推进其最终落实,预计将于2022年5月基本完成。

u81que6rMq.jpeg

新的行政命令有助于培养一种更加协作和统一的网络安全方法,这种方法强调了保护软件的重要性。


确保软件供应链安全


行政命令的第四部分很重要占整个命令的25%。虽然最终的细节需要几个月的时间来确定,但美国国家标准与技术研究所(NIST)已经开始了初步指导方针的制定过程,从关键软件的定义和关键软件类别的列表开始。最近,NIST概述了关键软件的安全措施,包括软件代码自动化测试的最低标准。

随着网络安全问题已成为全球安全性问题,我国也在网络安全方面不断发布相关政策以确保网络及数据等安全。国内外不断发布的关于保护软件供应链的最佳实践的指南,要求软件供应商应该考虑如何影响他们的业务,以及他们在未来几个月可能需要实施哪些更改。

开发环境安全性:

软件开发环境必须具有与软件运行环境相同或更高的安全控制。这将需要重要且持续的安全流程,从建立身份验证和访问的程度到采用数据加密和审核信任关系。

一致性和公开:

关键要素是要求供应商证明符合订单中概述的安全编码指南。这意味着开发环境必须可由政府或其他客户审核。这可能会使标准化第三方审计得到发展,帮助供应商在销售过程中节省时间。

一个关键元素是呼吁供应商证明符合订单中概述的安全编码指南。这意味着政府或其他客户应该对开发环境进行审核。这可能会带来标准化第三方审计的发展,使供应商在销售过程中节省时间。同时,对发现的安全漏洞及时披露有助于强化网络安全防御。

软件材料清单:

随着安全风险意识的提高,政府现在要求软件中包含的内容透明化。考虑到现代软件主要由现有代码组成,其中大部分来自开源库。由于大多数开源代码都包含漏洞(我们的研究发现 70% 的应用程序包含开源库中的漏洞),因此组织不可能在不评估其应用程序的开源组件的安全性的情况下声称其软件是安全的。SBOM 强制组织分析他们使用的源代码,并对其软件(包括任何开源组件)的安全性负责。

随着安全风险意识的增强,政府现在要求对软件中包含的内容透明化。考虑到现代软件主要是由现有的代码组成的,这些代码大部分来自开源码库。由于大多数开源代码都包含漏洞(研究发现70%的应用程序在开源代码库中都包含漏洞),如果没有评估其应用程序的开放源代码组件的安全性,企业就不能宣称其软件是安全的。这就要求企业应通过静态代码检测或SCA等分析所用源代码的安全性,并对它们的软件(包括任何开放源码组件)的安全性负责。

自动化应用程序测试:

使用自动化工具如静态代码检测工具(或类似流程)来检查已知和潜在漏洞并对其进行修复有助于减少软件安全漏洞。这些工具应该定期运行,或者至少在产品、版本或更新发布之前运行。甚至在DevsecOps中这些工具需要集成到开发过程中。

在NIST(国家标准与技术研究所)关于关键软件安全的指南中,建议使用自动化测试、静态和动态分析以及安全编码技术的使用进行威胁建模。

合规性和补救:

要求在命令之前采购软件的机构在必要时通过补救来遵守规定。这实际上是软件供应商面临的最大障碍之一,因为修复包括“安全债务”(未经测试的代码或未解决的缺陷)的旧软件是困难和耗时的。供应商通常会选择从头开始重写软件,而不是缓解问题。

Software是现代世界的核心和引擎,一切都建立在代码基础之上,这意味着代码危险将一切都置于危险之中。最近对Colonial Pipeline和SolarWinds的网络攻击不仅表明了软件供应链的弱点,同时也看出了一次网络攻击可以造成的破坏有多巨大。

加强软件供应链安全不但可以确保软件稳定运行可信赖,也是筑牢网络安全根基的方法之一。通过提高软件自身安全性,帮助网络系统抵御那些绕过安全查杀软件的恶意病毒,提高网络系统“抗毒”能力。


参读链接:

https://www.darkreading.com/vulnerabilities-threats/cybersecurity-executive-order-securing-the-software-supply-chain

https://www.sohu.com/a/481135906_290304

浏览 36
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报