美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全

  • A+
所属分类:安全新闻

美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全 聚焦源代码安全,网罗国内外最新资讯!

美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全


专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全


8月27日,美国政府召开网络安全峰会,科技、教育、金融和基础设施等行业巨头的高管和领导均标识将提振美国的网络安全。
美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全


该峰会由美国总统拜登及其政府成员举办,目的是和商业高管探讨并协调关于如何合力保护美国企业和按行业应对日益增长的网络安全。

参加峰会的高管包括苹果公司的首席执行官 Tim Cook、亚马逊首席执行官 Andy Jassy、Alphabet 公司首席执行官 Sundar Pichai、微软首席执行官 Satya Nadella、JPMorgan Chase 公司的 Jamie Dimon 和美国银行的首席执行官 Brian Moynihan。

白宫在网站上发布的全文如下:

今天,美国总统拜登和私营行业及教育领导人一起探讨了全国上下如何努力解决网络安全威胁。近期发生的多起高级别网络安全事件表明,美国的公私实体面临着越来越复杂的恶意网络活动。网络安全威胁和事件影响所有规模的企业、所有的小镇和城市以及中产家庭的前报。雪上加霜的是,近50万个公私网络安全岗位空缺。

网络安全对拜登政府的国家安全和经济安全而言是重要且紧急的任务,网络安全的优先级已提升到前所未有的高度。2021年5月12日,美国总统拜登签发行政令,致力于将联邦政府国防能力现代化并改进技术的安全性。为保护关键基础设施的安全,拜登政府在今年春天推出为期100天的倡议,首先改进电力行业的网络安全,而其它行业后续跟进。7月28日,总统拜登发布了国家安全备忘录,设立了自愿性网络安全目标,清晰地说明了政府对关键基础设施所有人员和运营人员的期望。拜登政府还就优先考虑网络安全的重要性在维护业务持续性中发挥的中心作用和私营行业机构举行了会谈。在国际上,拜登政府号召G7国家追责包庇勒索软件犯罪分子的国家并在七年来首次更新了北约的网络政策。

而这次与公私实体举行会谈,目的是讨论以合作伙伴形式以及单独个体形式提振国家的网络安全。多家参与单位宣布的承诺和倡议包括:

  • 拜登政府宣布,国家标准和技术局 (NIST) 将和行业及其它合作伙伴协作,开发改进技术供应链安全性和完整性的新框架。它将指导公私实体构建安全技术并评估包括开源软件在内的技术安全性。微软、谷歌、IBM、Travelers和Coalition 承诺参与由 NIST 牵头的行动。

  • 拜登政府还宣布将工控系统网络安全计划正式扩展到第二大行业:天然气管道。该计划已改进了150多款电力设施的网络安全性,这些设施服务9000万名美国公民。

  • 苹果公司宣布将建立新计划,推动整个技术供应链的持续安全改进。作为该计划的一部分,苹果公司将与供应商一道(其中美国国内为9000家)推动多因素认证、安全培训、漏洞修复、事件日志记录和事件响应的大规模应用。

  • 谷歌宣布将在未来五年内投资100亿美元,扩展零信任计划,助力保护软件供应链,加强开源安全。谷歌还宣布将帮助10万名美国人获得受行业认可的数字化技能证书,提供可获得高收入、高增长岗位的知识。

  • IBM 公司宣布将在未来三年内培训15万网络安全人才,并和20多所历史上的黑人学院和大学成立网络安全领导力中心,增加多样性网络人才。

  • 微软宣布称将在未来五年内投资200亿美元,从设计上加速集成网络安全并交付高阶安全解决方案。微软还宣布称将立即投入1.5亿美元的技术服务,帮助联邦、州和地方政府升级安全防护措施并扩展与社区大学及非营利性组织在网络安全培训方面的合作伙伴关系。

  • 亚马逊宣布将把对员工提供的安全意识培训免费分享给公众。亚马逊公司还宣布在不收取额外费用的情况下,将多因素认证设备提供给所有的 Amazon Web Services 账户持有人,防御多种网络安全威胁如钓鱼攻击和密码窃取。

  • 网络保险提供商 Resilience 宣布将要求保单持有人满足网络安全嘴贱实践的门槛,作为承包范围的条件。

  • 网络保险提供商 Coalition 宣布将免费向任意组织机构开放网络安全风险评估和持续监控平台。

  • Code.org 网站宣布,将在未来3年,向3.5万个班级的300多万名学生教授网络安全概念,教授构成多样化的学生如何安全上网以及树立他们对网络安全工作的兴趣。

  • Girls Who Code 网站宣布将为历史上被排除在技术领域之外的群体设立微认证项目。该项目将使未充分代表的群体更容易获得奖学金和早期职业机会。

  • 德克萨斯大学宣布将扩展网络相关领域内现有的并开发新的短期资格证书,加强美国网络安全劳动力。其中主要的做法是,通过德克萨斯大学圣安东尼奥校区的网络安全制造创新所提供入门级网络教育项目,为全国100多万名员工提升技能和学习新技能。资格证书并不取决于传统的学历路径,而且也应该对该通道的多样化发挥重大作用。

  • 瓦特康社区学院宣布该学院已被指定为新的 NSF 高阶技术教育国家网络安全中心,将为教职工提供网络安全教育和培训,并支持院校开发项目,让学生坐上从学校到职业的“快车道”。美国各社区中社区学院的性质各不相同,成为提升网络安全劳动力多样性和包容性的理想通道。












推荐阅读

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
速修复!OpenSSL 披露DoS 和证书验证高危漏洞,可导致服务器崩溃
Realtek WiFi SDK 被曝多个漏洞,影响供应链上至少65家厂商近百万台IoT设备
康奈尔大学研究员发现“代码投毒”攻击,可触发供应链攻击
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全
Linus Torvalds 警告:勿用 Linux 5.12 rc1,担心供应链攻击?
微软和火眼又分别发现SolarWinds 供应链攻击的新后门
找到恶意软件包:Go 语言生态系统中的供应链攻击是怎样的?
拜登签署行政令,要求保护美国关键供应链(含信息技术)的安全
坐火车太无聊,我溜入微软 VS Code官方GitHub仓库,但没敢发动供应链攻击
SolarWinds 供应链攻击中的第四款恶意软件及其它动态
OpenWRT开源项目论坛遭未授权访问,可被用于供应链攻击
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)
FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)
FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
FireEye 红队失窃工具大揭秘之:分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)
FireEye 红队失窃工具大揭秘之:分析复现 Atlassian RCE (CVE-2019-11580)
Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难
被后爹坑:开源 JavaScript 库沦为摇钱树
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
谷歌提出治理开源软件漏洞的新框架:知悉、预防、修复
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等



原文链接

https://www.bleepingcomputer.com/news/security/microsoft-and-google-to-invest-billions-to-bolster-us-cybersecurity/
https://www.whitehouse.gov/briefing-room/statements-releases/2021/08/25/fact-sheet-biden-administration-and-private-sector-leaders-announce-ambitious-initiatives-to-bolster-the-nations-cybersecurity/


题图:Pixabay License


奇安信代码卫士原创出品。转载请注明 “转自奇安信代码卫士 https://codesafe.qianxin.com”。



美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全
美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

   美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全 觉得不错,就点个 “在看” 或 "” 吧~


本文始发于微信公众号(代码卫士):美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: