TOP5 | 头条：美国陆军公布更新版《云计划》与《数据计划》

美国陆军公布更新版《云计划》与《数据计划》；

标签：美国，陆军，云计划，数据计划

据美国《防务头条》10月11日报道，美国陆军公布更新版《云计划》与《数据计划》。

《云计划》首次纳入实施零信任架构，提出“零信任传输”“云原生零信任能力”“零信任控制”3条工作路线。该计划将零信任架构定义为“安全模型、系统设计原则以及协调网络安全与系统管理战略”，战略目标包括：建立配置与变更控制委员会，监督零信任架构及其他目标；扩展云计算；实现安全、快速的软件开发能力；加速数据驱动的决策；加强云操作；发展云劳动力；实现成本透明度和问责制等。

《数据计划》高度重视数据与数据分析，设定4个短期目标，以及包括更快地提供软件与决策在内的7个长期战略目标。近期目标侧重于涉及少数作战单位的演习，分4个阶段：建立旅以上的梯队作战框架、确定需求的优先次序，确定解决方案的优先次序和确定“项目目标备忘录24”的影响。

信源：https://www.secrss.com/articles/47902

谷歌云发布重磅安全产品，逆转软件供应链领域攻防形势；

标签：谷歌云，软件供应链

谷歌云宣布推出软件供应链端到端保护产品Software Delivery Shield，旨在加强企业应对激增的软件供应链攻击的能力。

Software Delivery Shield可以在整个开发生命周期加强软件供应链安全，包括增强开发环境的应用安全、提升应用的映像和依赖项安全、加强CI/CD管道安全、保护应用运行时安全、在安全开发生命周期（SDLC）内实施基于信任的安全策略等。

回应软件供应链安全的呼声

多年以来，谷歌一直与开发者社区、公共部门及各合作伙伴携手，建立起多种行业范围内的标准与框架，并凭借软件工件供应链级别（SLSA）等成果努力增强软件供应链安全性。去年，作为谷歌公司百亿美元推进网络安全倡议的一部分，该公司承诺为各类被全球公共基础设施及企业广泛应用的关键开源组件提供保护。

为了进一步帮助用户提高软件供应链安全性，谷歌正式推出了Software Delivery Shield。这是一套完全托管的软件供应链安全解决方案，包含一组模块化功能，可以为开发者、DevOps及安全团队配备构建安全云应用所必需的各类工具。

Software Delivery Shield涵盖开发者工具、GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列谷歌云服务，从开发者工具到运行时选项无所不包。

Software Delivery Shield包含的功能横跨五大领域，旨在解决软件供应链中的种种安全问题。这五大领域分别为：应用程序开发、软件供应环节、持续集成与持续交付（CI/CD）、生产环境、策略。

Software Delivery Shield还允许用户逐步落地其实施路径，因此组织可以根据自身特定需求进行方案定制，根据现有环境和安全优先级先选择一部分关键工具。

快速安全搞开发

为了从开发起步阶段就协助保护软件，Google Cloud Next的预览版中引入了一项新服务：Cloud Workstations，这是一套立足谷歌云的完全托管开发环境。借助Cloud Workstations，开发者们可以随时随地通过浏览器访问到安全、快速且可定制的开发环境，并获得一致的配置与定制化工具。同时，IT和安全管理员可以轻松配置、扩展、管理和保护这些运行在谷歌云基础设施上的开发环境。

作为Software Delivery Shield产品的关键组件，Cloud Workstations负责增强应用程序开发环境的安全态势，因而在“安全左移”上发挥着关键作用。借助VPC服务控制、无源代码本地存储、私有入口/出口、强制镜像更新和IAM访问策略等内置安全措施，Cloud Workstations有助于解决代码泄露、隐私风险、配置不一致等各类常见的本地开发安全痛点。

除了通过Cloud Workstations帮助保护开发环境之外，谷歌还为开发者提供工具，让他们在自己的笔记本电脑上快速安全进行编码。Cloud Code是谷歌的IDE插件系列，目前已经提供Source Protect插件的预览版。Source Protect能够在IDE中为开发者实时提供安全反馈，识别易受攻击的依赖项，报告许可证信息等。这种快速、可操作的反馈能帮助开发者及时更正当前代码，尽可能削减成本高昂的事后修复需求。

保卫软件“供应”

提高软件供应链安全性的另一个关键步骤，当数保卫软件供应——也就是构建工具与应用程序依赖项。随着开源软件的快速普及，这个问题正变得越来越棘手。

在与广泛社区合作建立指导方针和框架，借以提高整体开源安全性的同时，谷歌还提供更多服务以帮助直接克服这一挑战。今年5月，谷歌推出了可信开源软件（Assured OSS）服务，目前尚处于预览阶段。

Assured OSS是谷歌的首个“策划”开源项目，相当于在大家熟知的免费和“原样”开源之上添加了一个问责层。作为Software Delivery Shield解决方案中的关键组成部分，Assured OSS提供已经由谷歌完成挑选和审查的开源软件包。这些软件包被部署在安全管道之内，并定期接受漏洞扫描、分析和模糊测试。

使用Assured OSS，安全团队将可以肯定其开发人员使用的开源依赖项已经通过了审查。该服务目前涵盖250个Java及Python精选包，且全部经过验证。它会自动生成软件物料清单（SBOM），即应用程序开发和交付中所涉及的一切组件和依赖项清单，用以识别存在潜在风险的各类元素。

借助Software Delivery Shield，DevOps团队能够在Artifact Registry中存储、管理和保护各类构建工件，还能通过Container Analysis提供的多语言包集成扫描主动检测漏洞。除了扫描基础镜像之外，Container Analysis（目前为预览版）现在还能对Maven及Go容器，以及非容器化Maven包执行推送时扫描。

锁定CI/CD管道

恶意黑客可能会破坏CI/CD管道以攻击软件供应链。因此，谷歌才一直努力加强完全托管CI平台Cloud Build和CD平台Cloud Deploy。作为Software Delivery Shield解决方案中的关键组件，这两大平台都包含内置安全功能，包括粒度IAM控制、VPC服务控制、隔离与临时环境、审批闸道等，可帮助DevOps团队更好地管理构建与部署流程。

Cloud Build现在还正式支持SLSA L3 builds，即默认实施SLSA L3级最佳实践。除了提供临时和隔离的构建环境之外，Cloud Build现在还能为容器化应用程序和非容器化Maven/Python软件包生成经过身份验证、不可篡改的构建源，并显示关于所构建应用程序的安全细节信息。

协助保护生产中的应用程序

软件供应链保护中的另一个关键环节，就是加强运行时环境的安全态势。Google Kubernetes Engine (GKE) 和 Cloud Run是谷歌打造的领先容器化应用程序运行时平台，二者均包含内置的安全功能，可为运行中的应用程序给予协助保护。

我们很高兴地宣布，GKE此次也迎来新的内置安全状态管理功能（现为预览阶段），可用于识别并解决GKE集群和工作负载中的安全问题。基于行业标准和GKE团队的安全专业知识，GKE现可提供详尽的风险严重性等级评估与结果，并就集群和工作负载的安全状况提供建议，包括对于操作系统漏洞和工作负载配置的洞察发现。

GKE仪表板现可清晰指明哪些工作负载会受到安全问题影响，而后提供可操作的指导性解决方案。除仪表板之外，GKE还能将安全问题记录至Cloud Logging，这部分安全事件信息随后可通过Pub/Sub（公布/订阅）被路由至工单系统或安全信息与事件管理（SIEM）系统等服务端。

对于Cloud Run无服务器平台的客户，谷歌正着手为Cloud Run安全面板引入新的增强功能。现在此面板能够显示软件供应链的安全见解，例如SLSA构建层面的合规性信息、构建源以及正在运行的服务中发现的漏洞（现为预览阶段）。

Software Delivery Shield的各项服务间协同工作，为用户软件供应链带来从开发到生产的全流程保护。

通过策略建立信任链

除了在软件交付生命周期的各个阶段增强安全态势之外，Software Delivery Shield还提供基于信任的策略引擎，帮助用户为整个供应链建立、维护和验证相应的信任链。

Binary Authorization是一款部署时安全控件，可以保证GKE或Cloud Run上仅部署受信任的容器镜像。借助Binary Authorization，DevOps或安全团队可以在开发过程中要求受信权威机构对镜像进行签名，而后在部署时强制执行签名验证。通过这种强制验证，各团队即可确保构建与发布流程中仅使用经过验证的镜像，从而更严格地控制容器环境。

软件供应链的安全保护是一项复杂挑战。Software Delivery Shield提供的端到端解决方案有助于保护软件完整性，使其免受软件供应链中各种形式攻击的影响。借助谷歌云服务承载的丰富工具集合，组织可以立即体验并根据现有环境/安全优先级逐步采用最合适的安全措施（无论大小），稳健提升软件供应链的整体安全水平。

信源：https://cloud.google.com/blog/products/devops-sre/introducing-software-delivery-shield-from-google-cloud

美国发布《国家先进制造业战略》；

标签：美国，先进制造业，战略

2022年10月7日，美国白宫发布了由白宫科技政策办公室（OSTP）和国家科学技术委员会（NSTC）制定的《国家先进制造业战略》。为了实现促进经济增长、创造就业机会、加强环境可持续性、应对气候变化、加强供应链、确保国家安全和改善医疗保健的战略愿景，本次战略更新了2018年《先进制造业美国领导力战略》，提出了新阶段美国先进制造的愿景与目标，制定了发展和实施先进制造技术、培育先进制造业劳动力和建立制造业供应链弹性三个互相关联的目标，并确定了未来四年的11项战略方向及相关技术方案建议。

一、发展和实施先进制造技术

自动化、数据科学、人工智能、机器学习、生物技术和材料科学等领域的最新进展，以及全球经济范围的脱碳、医疗保健和国家安全方面紧迫的技术挑战，为先进制造业创造了新的机遇，美国必须通过快速发展和实施创新的制造技术来充分利用并保护其技术领先地位。该目标确定的五个战略方向及其相关技术方案建议如下：

1. 建立清洁和可持续的制造业以支持脱碳，技术方案建议包括：通过提高能源效率、使用低碳原料和能源以及捕获和储存工业二氧化碳，促使制造过程脱碳；改进清洁能源制造技术；扩大材料的可持续制造和循环利用等。

2. 加快微电子学和半导体制造业创新，技术方案建议包括：投资集成光电、印刷电子、新制传感、混合电子制造等半导体和电子纳米制造，同时开发物理、化学和生物学方法以实现原子级精确控制分子结构；为新设备、材料和架构的创新和测试开发先进制造能力，同时为美国公司和大学提供利用芯片设计工具和晶圆代工的便捷获取途径；引入新材料、工具、设计、工艺和测试以实现高密度、高产量、高可靠性的先进半导体封装，同时加强研发和原型制造以及异构集成研发设施建设。

3. 实施先进制造业以支持生物经济，技术方案建议包括：促进生物制造研究；支持农业、森林和食品加工的人机合作；开发生物质加工和转化工艺；发展医药和保健产品的生物制造技术。

4. 发展新材料及加工技术，技术方案建议包括：基于物理计算和数据驱动的人工智能工具提高高性能材料设计和加工能力；开发适用于所有用户的增材制造工艺优化框架；发展先进的分离和处理方法，以减少或替代高需求技术中关键材料的使用；在微重力环境下开发新的增材制造工艺，以制造替代零件和空间基础设施等。

5. 引领智能制造业的未来，技术方案建议包括：通过数字孪生、制定数据兼容标准推进智能制造；优先考虑机器学习、数据访问、保密、加密和风险评估方面的研发，以便在制造业中采用人工智能；促进新技术和标准的开发，以实现安全和高效的人机交互；开发标准、工具和测试平台，实现制造业网络安全。

二、培养先进制造业劳动力

先进技术的变革有望创造数以百万计的新的、可持续的、高质量的美国工作岗位。大多证据表明，自动化、人工智能和机器人在未来十年将在全球范围内净增加制造业工作岗位。这些技术的开发和应用应该以补充工人技能的方式进行，而不是以替代工人技能的方式进行。为了维持和发展拥有高质量工作岗位的强大的先进制造业，美国必须增加制造业劳动力。该目标确定的三个战略方向及其相关技术方案建议如下：

1. 扩大和多样化先进制造业人才库，技术方案建议包括：提高学生对先进制造业职业的认识；重点关注代表性不足的群体和少数族裔服务机构；解决服务不足群体的社会和结构性障碍。

2. 发展、规模化和促进先进制造业教育和培训，技术方案建议包括：将先进制造纳入基础STEM教育；先进制造的职业和技术教育现代化；扩大和传播新的先进制造业学习技术和做法。

3. 加强雇主与教育机构的联系，技术方案建议包括：扩大基于工作的学习和学徒制度；推广行业认证证书。

三、建立弹性的制造业供应链

美国的制造业供应链是一个复杂的生态系统，连接着原材料和零部件生产商、物流公司、集成商和商业支持服务。其中需要改进的一个关键领域是供应链和生态系统的弹性。该目标确定的三个战略方向及其相关技术方案建议如下：

1. 加强供应链之间的联系，技术方案建议包括：促进供应链的内部合作；促进供应链数字化转型创新。

2. 努力减少制造业供应链的脆弱性，技术方案建议包括：追踪供应链上的信息和产品，以帮助识别和快速减轻风险；提高供应链的可见度；改进供应链的风险管理；激发供应链的敏捷性。

3. 加强和振兴先进制造业生态系统，技术方案建议包括：优先考虑为新制造业务的形成和增长提供关键项目支持；协助和激励中小型制造企业采用先进制造技术；协调和支持先进制造技术从实验室过渡到市场；建立和加强区域制造网络；改善公私伙伴关系。

信源：https://www.whitehouse.gov/wp-content/uploads/2022/10/National-Strategy-for-Advanced-Manufacturing-10072022.pdf

美国白宫发布报告《2022年美国国家安全战略》；

标签：美国，国家安全战略

美国白宫发布报告《2022年美国国家安全战略》。这份报告重点关注美国面临的最直接、最严重的威胁。报告对俄罗斯等国家，就区域和全球目标活动，军力、大规模杀伤武器、外太空争夺、网络技术、以及对美国的不利影响等角度进行综合评估。之后就新冠疫情、食品安全、气候环境变化、网络安全、经济贸易等问题进行了论述。

信源：https://cn.nytimes.com/usa/20221013/biden-china-russia-national-security/

上海网信办：某科技公司违反《数据安全法》被行政处罚；

标签：数据泄露，数据安全法

近期，上海网信办发现，某科技公司在处理政务类数据时违规操作，且未采取相应的技术措施和其他必要措施保障数据安全，导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正，给予警告，并处以人民币五万元罚款的行政处罚。

上海网信办相关负责人表示，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定，上海网信办将针对数据安全保护义务履行不力，造成重要数据泄露风险的违法违规行为加强监督检查和执法，进一步营造安全稳定的网络环境。

信源：网信上海