网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和国家情报总监办公室 (ODNI) 本周发布了关于保护软件供应链安全的三部分联合指南的第二部分。

该指南由持久安全框架 (ESF) 创建，这是一个跨部门工作组，旨在减轻威胁关键基础设施和国家安全的风险，为开发商、供应商和组织提供建议。

9 月，三个美国机构发布了该系列的第一部分，其中包括为希望提高软件供应链安全性的开发人员提供的建议。

美国国家安全局说：“供应商在确保软件的安全性和完整性方面也负有重要责任。毕竟，软件供应商负责客户和软件开发人员之间的联络。正是通过这种关系，可以通过合同协议、软件发布和更新、通知和漏洞缓解来应用额外的安全功能。”

接下来，我们一起看看第二部分的介绍和背景，全文可在文末获取下载机翻版。

1   介绍

软件供应链中未缓解的漏洞会给组织带来重大风险。本系列为软件供应链的开发、生产和分发以及管理流程提供了可行的建议，以提高这些流程的抗入侵弹性。

所有组织都有责任建立软件供应链安全实践以降低风险，但组织在软件供应链生命周期中的角色决定了此责任的形式和范围。

由于保护软件供应链的注意事项因组织在软件供应链中扮演的角色而异，因此本系列提供了针对这些重要角色的建议，即开发人员、供应商和客户（或获取软件产品的组织）。

本指南分为三部分系列，将与软件供应链生命周期同时发布。这是本系列的第2部分，重点介绍软件供应商。本系列的第1部分侧重于软件开发人员，本系列的第3部分将重点介绍软件客户。本系列将有助于促进这三个不同角色之间以及网络安全专业人员之间的沟通，从而有助于提高软件供应链流程的弹性和安全性。

在本系列中，风险、威胁、漏洞利用和漏洞等术语基于国家安全系统术语表（CNSSI4009）中定义的描述。

1.1   背景

从历史上看，软件供应链妥协主要针对未修补的常见已知漏洞组织。虽然威胁参与者仍然使用这种策略来破坏未修补的系统，但一种新的、不那么明显的入侵方法也会威胁到软件供应链，并破坏对修补系统本身的信任，而修补系统本身对于防范遗留攻击至关重要。威胁参与者不是等待公开漏洞披露，而是主动将恶意代码注入产品中，然后通过全球软件供应链合法地分发到下游。在过去几年中，开源和商业软件产品的这些下一代软件供应链妥协显著增加。

技术消费者通常单独管理软件下载和更广泛、更传统的软件供应链活动。将软件的上游和下游阶段视为供应链风险管理的一个组成部分可能有助于识别问题，并在整合活动以实现系统安全方面提供更好的前进方向。

但是，在软件产品的情况下，也有一些差异需要考虑。传统的软件供应链周期是从原产地到消费点，通常使客户能够退回故障产品并限制任何影响。相反，如果一个软件包被注入了恶意代码，这些代码会扩散到多个消费者;规模可能更难限制，并可能造成指数级更大的影响。

针对软件供应链的常见妥协方法包括利用软件设计缺陷、将易受攻击的第三方组件合并到软件产品中、在交付最终软件产品之前用恶意代码渗透供应商的网络，以及注入恶意软件，然后由客户部署。

利益攸关者必须设法减轻其责任领域特有的安全问题。然而，其他关切可能需要采取缓解办法，要求依赖另一个利益攸关者或由多个利益攸关者分担责任。未充分沟通或解决的依赖项可能会导致漏洞和潜在的泄露。

可能存在这些类型漏洞的领域包括：

• 未记录的功能或高风险功能，

• 评估和部署之间对合同、功能或安全假设的未知和/或修订，

• 供应商所有权和/或地理位置的变更，以及
• 供应商企业或开发卫生状况不佳。

1.2   文档概述

本文档包含以下附加部分和附录：

第2节提供了为供应商推荐的最佳实践和标准，以帮助确保软件从生产到交付的完整性和安全性。

第3节是补充上述各节的附录集：

附录A：NIST SP800-218之间的人行横道;通过采用安全软件开发框架（SSDF）4和此处描述的用例来降低软件漏洞的风险。

附录B：依赖项

附录C：软件工件的供应链级别（SLSA）5

附录D：推荐的项目和清单

附录E：参考资料

附录F：缩略语

关注公众号，回复“221100”获取“《保护软件供应链：供应商推荐做法指南》”，了解更多供应链安全，获取文档后，记得帮忙分享一下哦！

网络安全等级保护安全物理环境测评培训PPT

网络安全等级保护实施指南培训PPT

数据安全风险评估清单

美国关键信息基础设施数据泄露的成本

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 网络安全等级保护：等级保护测评过程及各方责任
3. 网络安全等级保护：政务计算机终端核心配置规范思维导图
4. 网络安全等级保护：什么是等级保护？
   
5. 网络安全等级保护：信息技术服务过程一般要求
6. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
7. 闲话等级保护：什么是网络安全等级保护工作的内涵？
8. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
9. 闲话等级保护：测评师能力要求思维导图
   
10. 闲话等级保护：应急响应计划规范思维导图
    
11. 闲话等级保护：浅谈应急响应与保障
    
12. 闲话等级保护：如何做好网络总体安全规划
    
13. 闲话等级保护：如何做好网络安全设计与实施
    
14. 闲话等级保护：要做好网络安全运行与维护
    
15. 闲话等级保护：人员离岗管理的参考实践
16. 信息安全服务与信息系统生命周期的对应关系
17. 工业控制系统安全：信息安全防护指南
18. 工业控制系统安全：工控系统信息安全分级规范思维导图
19. 工业控制系统安全：DCS防护要求思维导图
20. 工业控制系统安全：DCS管理要求思维导图
21. 工业控制系统安全：DCS评估指南思维导图
22. 工业控制安全：工业控制系统风险评估实施指南思维导图
23. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
24. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图

原文始发于微信公众号（祺印说信安）：美国三机构共同发布《保护软件供应链：供应商的推荐做法指南》