美国CISA、NSA、ODNI联合发布保护软件供应链安全指南

10月18日，美国网络安全和基础设施安全局(CISA)与国家安全局(NSA)和国家情报总监办公室(ODNI)合作发布了关于保护软件供应链的三部分系列文章的最后一部分。

该出版物遵循2022年8月发布的开发人员指南和2022年10月发布的供应商指南，为客户提供了推荐做法，以确保软件在采购和部署阶段的完整性和安全性。其中包括使用业务流程使安全要求和风险评估保持最新，并要求充分保护和控制所有数据和元数据的地理定位。

文章描述了威胁行为者可能利用的各种场景。其中包括旨在应对威胁的安全要求不是特定领域或不包括组织要求的事实，以及安全要求分析中的差距可能导致解决方案或所选安全控制不匹配。

此外，文章还指出，公司应分配特定员工来验证特定领域和组织的安全要求，并协调风险概况定义与任务和企业领域等。

最近的网络攻击，如针对SolarWinds及其客户的攻击，以及利用Log4j等漏洞的攻击，都突出了软件供应链中的弱点；这一问题既涉及商业软件，也涉及开源软件，对私营企业和政府企业都有影响。软件供应链可能会被国家对手使用类似的战术技术和程序（TTP）进行攻击，因此越来越需要软件供应链安全意识。

文章中还提到，白宫对此特地发布了关于改善国家网络安全的行政命令（EO 14028）。该命令确立了保护联邦政府软件供应链的新要求。这些要求包括对软件供应商和开发人员以及为联邦政府购买软件的客户的系统审查过程改进和安全标准。

//

CISA写道：“当产品没有得到适当的保护，当客户与可疑的地理位置和元数据相关联，或者当客户被怀疑与外国利益相关时，一般的安全漏洞也可能普遍存在。”

JupiterOne首席信息安全Sounil Yu表示：“软件生产通常由行业完成，因此会有一些行业力量拒绝生产软件物料清单(SBOM)。由于行业和政府都使用软件，支持共享SBOM符合行业和政府的最大利益。但是，我们会看到政府内部的阻力较小。”

CISA还表示，还应建立所有收购的安全要求。通过分拆公司、外部实体或第三方供应商获取软件时，客户应对整个供应链风险管理 (SCRM) 计算实施持续监控，并采取适当的控制措施来减轻假设变化和安全风险。

扫码进社群可以获得报告原文！