回复“221120”中获得“软件供应链安全指南”翻译版

美国三个政府机构——网络安全和信息安全局 (CISA)、国家安全局 (NSA) 和国家情报总监办公室 (ODNI)——宣布发布三部分联合文件的第一部分确保软件供应链安全的指南。以下几个链接为英国供应链安全原则和指南的部分内容，以及我国国家标准ICT供应链安全风险管理指南思维导图。

供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：确定组织中的关键参与者和评估风险 思维导图：ICT供应链安全风险管理指南思维导图 网络安全之供应链安全（一） 网络安全之供应链安全（二） 网络安全之供应链安全（三）

摘要

网络攻击通过网络空间进行，针对企业利用网络空间破坏、禁用、破坏或恶意控制计算环境或基础设施;或破坏数据的完整性或窃取受控信息。

最近的网络攻击，例如针对Solar Winds及其客户执行的网络攻击，以及利用Log4j等漏洞的漏洞利用，凸显了软件供应链中的弱点;这个问题涉及商业和开源软件，影响私营和政府企业。因此，越来越需要软件供应链安全意识和认知，即软件供应链有可能被民族国家对手使用类似的策略、技术和程序（TTP）武器化。

作为回应，白宫发布了一项关于改善国家网络安全的行政命令（EO 14028）。EO 14028建立了新的要求，以确保联邦政府的软件供应链。这些要求涉及软件供应商和开发人员的系统审查、流程改进和安全标准，以及为联邦政府购买软件的客户。

同样，持久安全框架（ESF）软件供应链工作组已建立本指南，作为开发人员、供应商和客户利益相关者的建议实践纲要，以帮助确保更安全的软件供应链。本指南分为三个部分系列：该系列的第1部分侧重于软件开发人员;第2部分重点介绍软件供应商;第3部分重点介绍软件客户。

客户（收购组织）可以使用本指南作为描述、评估和衡量与软件生命周期相关的安全实践的基础。此外，此处列出的建议做法可以应用于软件供应链的采购、部署和运营阶段。

软件供应商（供应商）负责客户和软件开发人员之间的联络。因此，供应商的责任包括通过合同协议、软件发布和更新、通知和漏洞缓解来确保软件的完整性和安全性。本指南包含建议的最佳实践和标准，以帮助供应商完成这些任务。

本文档将提供符合行业最佳实践和原则的指导，强烈建议软件开发人员参考这些最佳实践和原则。这些原则包括安全需求规划、从安全角度设计软件架构、添加安全功能以及维护软件和底层基础架构（例如，环境、源代码审查、测试）的安全性。

1 简介

软件供应链中未缓解的漏洞会给组织带来重大风险。本系列为软件供应链的开发、生产和分发以及管理流程提供了可行的建议，以提高这些流程的抗入侵弹性。

所有组织都有责任建立软件供应链安全实践以降低风险，但组织在软件供应链生命周期中的角色决定了此责任的形式和范围。

由于保护软件供应链的注意事项因组织在软件供应链中扮演的角色而异，因此本系列提供了针对这些重要角色的建议，即开发人员、供应商和客户（或获取软件产品的组织），

本指南分为三部分系列，将与软件供应链生命周期同时发布。这是该系列的第3部分，重点介绍软件客户。该系列的第1部分侧重于软件开发人员，第2部分侧重于软件供应商。本系列将有助于促进这三个不同角色之间以及网络安全专业人员之间的沟通，从而有助于提高软件供应链流程的弹性和安全性。

在本系列中，风险、威胁、漏洞利用和漏洞等术语基于国家安全系统术语表（CNSSI 4009）中定义的描述。

1.1 背景

从历史上看，软件供应链妥协主要针对未修补的常见已知漏洞组织。虽然威胁参与者仍然使用这种策略来破坏未修补的系统，但一种新的、不那么明显的入侵方法也会威胁到软件供应链，并破坏对修补系统本身的信任，而修补系统本身对于防范遗留攻击至关重要。威胁参与者不是等待公开漏洞披露，而是主动将恶意代码注入产品中，然后通过全球软件供应链合法地分发到下游。在过去几年中，开源和商业软件产品的这些下一代软件供应链妥协显著增加。

技术消费者通常单独管理软件下载和更广泛、更传统的软件供应链活动。将软件的上游和下游阶段视为供应链风险管理的一个组成部分可能有助于识别问题，并在整合活动以实现系统安全方面提供更好的前进方向。

但是，在软件产品的情况下，也有一些差异需要考虑。传统的软件供应链周期是从原产地到消费点，通常使客户能够退回故障产品并限制任何影响。相反，如果一个软件包被注入了恶意代码，这些代码会扩散到多个消费者;规模可能更难限制，并可能造成指数级更大的影响。

针对软件供应链的常见妥协方法包括利用软件设计缺陷、将易受攻击的第三方组件合并到软件产品中、在交付最终软件产品之前用恶意代码渗透供应商的网络，以及注入恶意软件，然后由客户部署。

利益攸关者必须设法减轻其责任领域特有的安全问题。然而，其他关切可能需要采取缓解办法，要求依赖另一个利益攸关者或由多个利益攸关者分担责任。未充分沟通或解决的依赖项可能会导致漏洞和潜在的泄露。

可能存在这些类型漏洞的领域包括：

未记录的功能或高风险功能，

评估和部署之间对合同、功能或安全假设的未知和/或修订，

供应商所有权和/或地理位置的变更，以及

供应商企业或开发卫生状况不佳。

1.2 文档概述

本文档包含以下附加部分和附录：

第2节介绍了客户在软件供应链的采购、部署和运营阶段可能采用的推荐做法。

第3节是补充上述各节的附录集：

附录A：NIST SP800-218之间的人行横道;通过采用安全软件开发框架（SSDF）和本文所述的用例来降低软件漏洞的风险

附录B：依赖项

附录C：软件工件的供应链级别（SLSA）

附录D：参考资料

附录E：缩略语。

每个部分都包含威胁方案和建议的缓解措施的示例。威胁场景解释了构成软件开发生命周期（SDLC）给定阶段的流程如何与可能被利用的常见漏洞相关。建议的缓解措施提供了可以减少威胁影响的控制和缓解措施。

>>>工控安全<<<

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 网络安全等级保护：等级保护测评过程及各方责任
3. 网络安全等级保护：政务计算机终端核心配置规范思维导图
4. 网络安全等级保护：什么是等级保护？
   
5. 网络安全等级保护：信息技术服务过程一般要求
6. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
7. 闲话等级保护：什么是网络安全等级保护工作的内涵？
8. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
9. 闲话等级保护：测评师能力要求思维导图
   
10. 闲话等级保护：应急响应计划规范思维导图
    
11. 闲话等级保护：浅谈应急响应与保障
    
12. 闲话等级保护：如何做好网络总体安全规划
    
13. 闲话等级保护：如何做好网络安全设计与实施
    
14. 闲话等级保护：要做好网络安全运行与维护
    
15. 闲话等级保护：人员离岗管理的参考实践
16. 信息安全服务与信息系统生命周期的对应关系

>>>工控安全<<<

1. 工业控制系统安全：信息安全防护指南
2. 工业控制系统安全：工控系统信息安全分级规范思维导图
3. 工业控制系统安全：DCS防护要求思维导图
4. 工业控制系统安全：DCS管理要求思维导图
5. 工业控制系统安全：DCS评估指南思维导图
6. 工业控制安全：工业控制系统风险评估实施指南思维导图
7. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
8. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图

>>>数据安全<<<

1. 数据安全风险评估清单

2. 成功执行数据安全风险评估的3个步骤

3. 美国关键信息基础设施数据泄露的成本

4. VMware 发布9.8分高危漏洞补丁

5. 备份：网络和数据安全的最后一道防线

6. 数据安全：数据安全能力成熟度模型

7. 数据安全知识：什么是数据保护以及数据保护为何重要？

8. 信息安全技术：健康医疗数据安全指南思维导图

原文始发于微信公众号（祺印说信安）：翻译：软件供应链安全指南