全球软件供应链安全指南和法规

软件供应商和用户，都需要对有效抵御软件供应链攻击的要求和法规越来越熟悉。

供应链安全继续在网络安全领域受到重点关注，这是有充分理由的：SolarWinds、Log4j、Microsoft和Okta软件供应链攻击等事件，持续影响着头部软件供应商以及广泛使用的开源软件组件，这种担忧是全球性的。

随着各国政府寻求降低软件供应链攻击的风险，世界各地的法规和要求正在不断发展，安全设计、安全软件开发、软件责任和自我证明以及第三方认证等正在成为主要话题。

软件供应商需要更加了解当地的变化。由于攻击者所利用的软件供应商十分广泛，这些要求旨在帮助减轻软件供应链攻击给国家和政府带来的风险。全球各国和地区都在为了这一焦点作出努力，以下是一些保护软件供应链最需关注的措施和计划。

01

美国

1、网络行政命令

大多美国软件供应链安全指南和要求，可以追溯到提升“国家网络空间安全”14028行政命令。虽然14028没有直接制定具体要求，但要求各机构在后面作出相应的指南。第四章着重强调了“提升软件供应链安全”并且向NIST（国家标准和技术研究院）、OMB（管理和预算办公室）、CISA（网络空间和基础设施安全局）提出了要求。

根据14028，管理和预算办公室（OMB）发布了两份备忘录（22-18 和 23-16），每份备忘录都重点关注软件供应链安全，并开始推动相关要求，如要求所有向美国联邦政府销售的软件供应商，开始自我证明遵循了安全软件开发实践，如 NIST 的安全软件开发框架 (SSDF)。

它还要求在某些情况下使用 SBOM，甚至在机构认为风险足够大时使用第三方评估机构。

2、FDA 确保医疗器械的网络安全/第 524B 节

医疗器械是美国特别关注的一个领域。

美国食品和药物管理局（FDA）最新的要求，是在《联邦食品、药品和化妆品法案》（FD&C）第 524B 条中提出的。该条款要求医疗设备在上市前提交相关文件，记录医疗器械系统的安全风险管理活动，并指出除了漏洞评估和威胁建模等措施外，还需要 SBOM。它还特别指出了纳入医疗设备的开源软件组件的作用，以及应从风险管理角度考虑的潜在风险。

3、SSDF

虽然 NIST 安全软件开发框架 (SSDF) 本身并不是一项法规或合同要求，但美国在讨论软件供应链安全问题时，如果不触及该框架，那将是不完整的。

14028要求中的另一个条款是由 NIST 和 OMB 编制更新的 SSDF，NIST 现已将其列为向美国联邦政府销售的软件供应商自我证明要求的一个关键。SSDF 利用了几个现有的安全软件开发框架，如 OWASP 的安全应用成熟度模型 (SAMM) 和 Synopsys 的构建安全成熟度模型 (BSIMM)，以交叉引用生产安全软件应遵循的实践。

4、国家网络战略——软件责任

2023 年发布的最新美国国家网络战略 (NCS)重点关注软件供应链安全，包括呼吁需要“重新平衡保卫网络空间的责任”。

将关注点从客户和消费者转移到软件供应商，不仅是该战略的关键主题，也是各机构和领导者（如 CISA 在其 "安全设计 "倡议中）的关键主题。NCS支柱三侧重于塑造市场力量，以推动安全性和复原力，并要求开展各种活动，如让数据管理人员承担责任、推动安全设备的开发，甚至还引入了 "软件责任 "这一热门话题。

5、2023 年开源软件安全法案

美国联邦政府与社会其他部门一样，越来越依赖开源软件。2022 年颁布的 "开源软件安全法案 "公开承认了这一点。该法案承认开放源码软件的重要性，并呼吁 CISA 等机构直接参与OSS社区。它规定了 CISA 局长在外联和参与方面的责任，并帮助促进提高OSS生态系统的安全性。

02

欧盟

在欧盟方面，有一项立法成为全球头条新闻，这就是《欧盟网络弹性法案》。这是一项影响深远的综合性立法，为涉及数字元素的产品供应商和开发商制定了共同的网络安全规则和要求。

该法案包括硬件和软件以及任何具有 "数字元素 "的产品。与 GDPR 一样，尽管该法案是在欧盟设计的，但由于适用于整个欧盟市场的产品，因此具有深远的影响，这些产品实际上可能并非最初在欧盟制造，而是在欧盟市场销售。

该法案要求将网络安全作为设计和开发具有数字元素的产品的一个关键因素，不遵守该法案的产品除被处以行政罚款外，还可能被限制在欧盟市场上销售。

1、人工智能法案

紧随《网络弹性法案》之后的是《人工智能法案》，其重点是确保在欧盟市场上开发和使用可信人工智能系统的条件。《人工智能法案》规定了各种可接受的风险等级，从无风险和最小风险到完全禁止某些用途，如导致侵犯人类尊严或操纵人类行为的用途。

该法案适用于在欧盟市场上销售的人工智能系统或在欧盟使用的人工智能服务，再次显示了其广泛的适用范围。被视为高风险系统的生产商将需要执行各种风险管理和治理活动，并自我证明其符合该法案的要求，不遵守该法案最高可导致全球营业额的 4% 或数千万欧元的损失。

03

加拿大

保护组织免受软件供应链威胁也是加拿大的首要任务。加拿大网络安全中心 (CCCS) 协助出版了《改变网络安全风险平衡：设计和默认安全的原则和方法》。

它还将软件供应链攻击确定为 CCCS 2023-2024国家网络威胁评估中的一个关键问题。CCCS 还在 2023 年发布了《保护您的组织免受软件供应链威胁》，为使用 SSC 的公司提供指导。

04

澳大利亚

2023年3月，澳大利亚网络安全中心（ACSC）发布了《软件开发指南》，重点关注跨软件开发生命周期和环境的各种安全控制。它还强调需要进行应用程序安全控制和测试来解决漏洞，并引用了 SBOM 的用例。澳大利亚还参加了国际“四方网络安全伙伴关系：安全软件联合原则”。

05

全球

尽管各国都在推动本国的软件安全议程，但全球范围内的努力也在悄然进行。其中之一被称为 "四方网络安全伙伴关系"： 该文件于 2023 年 5 月发布，由美国、印度、日本和澳大利亚合作编写。

其重点是在政府政策和供应商软件采购中采用安全软件开发实践。它与 NIST 的 SSDF 的四个阶段相一致，并谈到了要求软件生产商自我证明和必要时要求第三方认证的原因。

* 本文为靳东东编译，图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

更多推荐

原文始发于微信公众号（数世咨询）：全球软件供应链安全指南和法规