10月31日,商提美国国家安全局(NSA)、出供网络安全及基础设施安全局(CISA)、应链国家情报总监办公室(ODNI)携手发布了保护软件供应链的安全实操指南。该指南内容总共有40页,指南主要提及了软件供应商在供应链中所需要承担的美官责任和改进方法。指南中提及的软件供应商主要责任包括:
对于软件供应链的安全实践,NSA、CISA与ODNI有着一系列的规划,相关规划落实在由NSA及CISA所主导的政企工作小组所开发的“长期安全框架”(Enduring Security Framework,ESF)之中。这一框架将产出指导美国重大网络基础设施的安全指南,针对软件供应链总计有3部分:首先是今年9月发布、锁定软件开发者的《Securing the Software Supply Chain for Developers》,10月31日发布的指南适用于软件供应商,下一步则会发布针对软件供应链客户使用者的版本。
该指南针对软件供应商的供应链安全提出了非常多的建议,现将主要要点如下概述:
第一,该指南敦促软件供应商在软件收发供货过程中保证供应链安全。供应商有义务做到确认发货的软件与客户收到的软件是一样的;需要创建一个安全的哈希值来验证文件是否传送正确;需要确保软件传输通信渠道是安全的。需要通过利用国际公认的标准(如NIST SSDF)对软件进行最终检查,这有助于确保在软件发布前满足软件功能和安全要求。
第二,该指南认为供应商应提供一种机制,通过在整个软件生命周期内对代码进行数字签名,来验证软件发布的完整性。经过数字签名的代码,使代码接收者以及客户能够积极地验证和信任代码的来源和完整性。
第三,该指南要求供应商必须确保本地开发的软件和由第三方供应商提供的任何组件都需要符合安全要求。由于第三方提供的软件和模块通常会包含在供应商发布的软件产品中,为此,供应商可以通过召集专家评估第三方提供的软件是否符合适用的安全要求、与第三方软件提供者签订合同协议来解决潜在的第三方软件问题。
第四,该指南认为供应商应尽一切努力,确保提供给客户的任何软件中不存在公开的或容易识别的漏洞。在向客户提供软件之前,需要测试、了解和消除软件中的漏洞,以防止提供容易被破坏的代码。需要建立一个由架构师、开发、测试人员、密码学家和人为因素工程师组成的漏洞评估小组,其任务是识别软件中可利用的弱点。需实时检查与第三方软件和与软件相关的开放源码组件相关的软件物料清单(SBOM)。在相关问题公布后,建立并遵循企业对嵌入式组件升级的指导。
该指南下载地址:https://media.defense.gov/2022/Oct/31/2003105368/-1/-1/0/SECURING_THE_SOFTWARE_SUPPLY_CHAIN_SUPPLIERS.PDF
责任编辑:赵宁宁 来源: FreeBuf.COM 供应链安全漏洞(责任编辑:休闲)
私募“大佬”爆料做市值管理“被坑” 上交所对中源家居下发监管函
和林微纳(688661.SH):IPO拟发行2000万股 占发行后公司总股本的25.00%
互联网医疗行业迎来重要发展期 4只概念股被3家以上机构集中关注