美国政府提供软件安全保障要求指南

美国管理和预算办公室 (OMB) 发布了关于联邦机构何时以及如何从软件供应商处收集安全保证的新指南。

基于爱迷糊的乔·拜登总统于 2021 年 5 月签署的网络安全行政命令，OMB 去年发布了一份备忘录 (M-22-18)，要求联邦机构从软件供应商处获得其提供的软件安全的保证。

根据 M-22-18，联邦机构必须为 2022 年 9 月 14 日之后开发的所有软件获得证明，而且对于在该日期之前发布的软件，如果它收到重大更新或如果被用作服务并收到不断更新。

至少，此类保证应以自我证明的形式提供，但机构可能还需要软件材料清单 (SBOM) 和其他工件，或者可能要求供应商运行漏洞披露程序。

联邦机构还需要清点所有受这些要求约束的软件，与供应商建立沟通渠道，并获得必要的证明。

在周五发布的一份新备忘录 ( M-23-16 ) 中，OMB 强化了之前的要求并延长了机构获得证明的时间表。

以前，联邦机构需要在 270 天内获得关键软件的认证，其他软件则需要在一年内获得认证。

根据 M-23-16，关键软件的证明应在网络安全和基础设施安全局 (CISA) 的 M-22-18 证明通用表格获得 OMB 根据《减少文书工作法》(PRA) 批准后的三个月内获得。

所有其他软件的证明应在 OMB 批准通用表格后的六个月内获得。

5 月 1 日，CISA 公开了自我证明表草案以征询公众意见，为期 60 天，并将在审查公众反馈并纳入潜在变更后发布最终版本。

在新的备忘录中，OMB 明确表示联邦机构不需要获得第三方软件组件的证明，他们应该评估使用专有但免费获得和公开可用的软件（例如网络浏览器）的风险，并且该证明甚至对于由承包商代表该机构部署、配置或修改的软件也是必需的。

此外，如果供应商无法为其软件提供证明，但提供了有关他们无法证明的做法的文档，则联邦机构必须就此事通知 OMB 并要求延长证明的截止日期。但是，他们可能会继续使用该软件。

原文始发于微信公众号（祺印说信安）：美国政府提供软件安全保障要求指南