美国网络安全与基础设施安全局(CISA)于当地时间8月1日发布了新的联邦政府软件采购指导方针。《软件采购指南》旨在提高软件采购过程中的安全保障和透明度。指南关注软件生命周期中的安全原则,要求供应商承担更多安全责任,并通过详细的治理控制问题确保软件供应链的完整性。ICT SCRM工作组作为一个公私合作的机构,负责制定该指南,并整合了来自国家标准与技术研究院(NIST)、管理和预算办公室(OMB)及总务管理局(GSA)的要求。指南强调在采购过程中将安全性作为标准,并提出了“安全需求”的文化,以促进供应商和采购人员之间的有效沟通。指南文本共分为8章,6个附录,计61页。
![CISA发布联邦软件采购指南]( "CISA发布联邦软件采购指南")
该指南的核心挑战是将安全原则贯穿整个软件生命周期,从设计、开发到部署和运营使用。CISA国家风险管理中心助理主任兼信息与通信技术供应链风险管理工作组共同主席莫娜·哈灵顿(Mona Harrington)表示,该指南为政府采购人员提供了一份脚本,旨在将软件安全责任回归开发者和供应商。
指南中包含了治理控制问题,以确保供应商维护内部和第三方组件的来源数据,并采取其他关键安全措施。问题包括要求供应商提供CISA安全软件开发声明表格,并进行日志和补丁管理,以保持联邦软件供应链的完整性。供应商还需详细说明他们实施了哪些“安全设计”原则和行业标准,用于漏洞扫描和管理。
CISA的最新采购指南整合了国家标准与技术研究院的联邦框架,以及来自管理和预算办公室和总务管理局的安全要求,提供了一种全面的软件供应链安全方法。
该机构表示,这一指导方针向行业传达了政府机构要求供应商对其产品安全负责的信号。该框架与正在进行的联邦战略一致,即将安全责任从最终用户转移到商业制造商。
指南指示合同工作人员与企业风险负责人(如首席信息官和首席信息安全官)进行“更相关的讨论”,并包括77个关于漏洞管理和软件供应链完整性的问题。CISA表示,供应商提交安全软件开发声明表格或类似的安全治理实践文档(如GSA7700安全软件开发声明表格)时,可以跳过其中25个问题。
![CISA发布联邦软件采购指南]( "CISA发布联邦软件采购指南")
通过在采购周期中将安全性作为标准,指南明确了消费者对安全软件和产品的期望,并在采购和合同活动中体现出来。在政府机构中,任务拥有者和合同或需求办公室需要与信息技术办公室(或类似办公室)协调,负责沟通企业对安全软件的期望。该文档旨在提供最佳实践和建议,以支持其为机构获取安全软件的努力。由于供应商在没有相关需求的情况下难以进行所需的安全投资和努力,CISA的安全设计指导还强调了消费者需求的重要性,正如其寻求在软件制造商中创建普遍的安全设计理念,CISA需要在客户中创建‘安全需求’文化。
该指南专注于“安全需求”元素,提供了针对机构人员的建议,包括任务拥有者和合同人员或需求办公室,与企业风险拥有者(如首席信息官和首席信息安全官)以及候选供应商进行更相关的讨论,以便能够做出更好的、基于风险的信息决策,从而提升网络安全透明度。
![CISA发布联邦软件采购指南]( "CISA发布联邦软件采购指南")
![CISA发布联邦软件采购指南]( "CISA发布联邦软件采购指南")
![CISA发布联邦软件采购指南]( "CISA发布联邦软件采购指南")
![CISA发布联邦软件采购指南]( "CISA发布联邦软件采购指南")
1、https://www.govinfosecurity.com/new-cisa-guide-boosts-federal-software-procurement-security-a-25928
2、https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/pdm24050-software-acquisition-guide-for-government-enterprise-consumersv2508c.pdf
原文始发于微信公众号(网空闲话plus):CISA发布联邦软件采购指南
评论