近日,美國國家標準與技術研究院 (NIST) 釋出了幾份檔案和更新,闡明瞭軟體安全指南,並推薦了軟體和物聯網裝置的消費者標籤做法。NIST 還闡述了其對消費者網路安全標籤專案的方法。
這些舉措是拜登總統去年 5 月釋出的廣泛行政命令 (EO)授權的。他們的目標是加強聯邦政府對其購買的軟體產品的安全要求,希望這些好處也能流向私營部門。標籤計劃旨在讓消費者更深入地瞭解他們購買的軟體和裝置的安全性,並提高消費者軟體和物聯網裝置製造商的透明度。
軟體供應鏈安全指南和更新的 SSDF
第一份檔案闡明瞭如何按照 EO 的指示加強軟體供應鏈的安全性。該指南遵循 NIST 為滿足 EO 的最後期限而開展的一系列活動,包括從社群徵求立場檔案、在 6 月舉辦虛擬研討會和在 11 月舉辦第二次虛擬研討會、諮詢其他聯邦機構並審查現有的聯邦指南。
該命令要求 NIST 為負有軟體採購相關職責的聯邦機構工作人員提供指導,旨在幫助聯邦機構工作人員瞭解軟體生產商需要哪些資訊來了解其安全軟體開發實踐。新的 NIST 檔案闡明瞭聯邦機構在獲取軟體或包含軟體的產品時應遵循的最低建議。
該命令還指示 NIST 為軟體生產商定義行動或結果,例如商業現貨 (COTS) 產品供應商、政府現貨軟體開發商、承包商和其他定製軟體開發商。為了完成這項任務,NIST更新了其預先存在的安全軟體開發框架 (SSDF),該框架已經考慮了 EO 中包含的大部分相關任務。
NIST 指出,其指導僅限於聯邦機構採購軟體,其中包括韌體、作業系統、應用程式和應用程式服務(例如基於雲的軟體),以及包含軟體的產品。聯邦機構開發的軟體超出範圍,聯邦機構免費直接獲得的開源軟體也是如此。由聯邦機構購買的軟體捆綁、整合或以其他方式使用的開源軟體在範圍內。
根據 EO 的時間表,到 3 月 6 日,管理和預算辦公室 (OMB) 必須採取適當措施,要求各機構遵守有關在本命令釋出之日後採購的軟體的此類指南。到 2023 年 5 月 12 日,國土安全部部長與國防部長、司法部長、OMB 主任和 OMB 內電子政府辦公室的行政長官協商後,將向聯邦採購監管局 (FAR ) 委員會協調政府範圍內的採購,合同語言要求可供機構購買的軟體供應商遵守並證明遵守根據這些指南釋出的任何要求。
消費軟體的網路安全標籤
NIST 上週釋出的另一份檔案是《消費軟體網路安全標籤推薦標準》。EO 指示 NIST 與聯邦貿易委員會 (FTC) 和其他機構協調,啟動網路安全標籤試點計劃。這些標籤計劃旨在教育公眾瞭解軟體開發實踐的安全能力。
NIST 釋出的檔案就計劃所有者在標籤計劃中的作用、可以為標籤提供資訊的基線技術標準、標籤呈現標準和合格評定標準提出了建議。本文件還探討了軟體標籤的消費者教育和可用性。
本文件的目標是指導軟體提供商如何向消費者傳達“在軟體的生命週期中採用了安全軟體開發的良好實踐,並且與安全相關的軟體架構、功能和其他屬性遵循基線技術標準。 ”
消費物聯網產品的網路安全標籤
EO 要求 NIST 為物聯網 (IoT) 產品的消費者標籤計劃制定標準。根據 EO,“標準應考慮此類消費者標籤計劃是否可以與符合適用法律的任何類似的現有政府計劃一起執行或仿效。”
NIST 借鑑其在物聯網產品網路安全方面的現有工作以及最近關於受損物聯網產品及其漏洞的公開新聞報導,於 2021 年 8 月 31 日和 12 月 3 日釋出了標準草案版本。這些檔案可在 9 月 14 日的研討會上供社群反饋和 2021 年 12 月 9 日,並以書面形式提交。
基於這項活動,NIST 決定產品標準應該表達為結果,而不是關於如何實現它們的具體陳述。此外,NIST 得出的結論是,鑑於這些基準標準適用於各種產品的方式多種多樣,沒有一種單一的合格評定方法是合適的。最後,NIST 確定單個二元標籤(例如批准印章)表明產品符合基線標準可能是最合適的,再加上一種分層方法,可以引導感興趣的消費者線上獲取更多詳細資訊。
消費者網路安全標籤試點:方法和反饋
最後,NIST 公佈了其關於如何在軟體和物聯網標籤上開展試點專案的想法,並考慮到它已經闡明的標準。EO 指示 NIST “根據公佈的標準進行試點,並在命令釋出之日起一年內對試點計劃進行審查,與私營部門和相關機構協商,以評估計劃的有效性,確定什麼可以繼續改進,並提交總結報告。”
NIST 已確定它不會設計特定標籤作為試點的一部分。相反,該試點專案將由 NIST 組成,尋求利益相關者對消費物聯網產品和消費軟體當前或未來潛在的標籤工作以及這些工作如何與 NIST 建議保持一致的貢獻。
為此,NIST 正在尋求對試點專案的貢獻,並尋求有關現有標籤方案是否符合 NIST 建議的資訊,以及目前不運營標籤方案的組織是否有興趣根據 NIST 建議建立新專案等話題。對試點的貢獻必須在 2022 年 3 月 15 日之前提交。
這是“非常深”的東西
應用安全公司 Veracode 的聯合創始人兼技術長 Chris Wysopal 稱讚 NIST 在總結大量檔案中的大量密集資訊方面的敏捷性。“我認為他們在總結方面做得很好,但內容非常深刻,”他告訴 CSO。“人們將不得不閱讀大量內容,以瞭解作為供應商的要求。”
他特別讚揚 NIST 對 SSDF 的更新考慮到了軟體的構建者和使用者。“這不僅僅是純粹面向供應商的。這是有道理的,因為當您談論安全性時,有人在銷售技術,然後有人在操作它。該等式的兩個部分都需要了解對方做了什麼以及期望是什麼。建設者和運營者都在同一個框架下工作很有意義。”
Wysopal 的一項批評與軟體開發人員如何證明符合安全軟體實踐有關。“我不太喜歡的一點是,他們似乎認為很多此類證明可以在產品線級別或公司級別完成,而不是在您購買的特定產品上完成。”
“很多時候,當推出新產品或收購小供應商時,它會被重新命名幷包含在該公司的產品中,這些產品幾乎沒有更成熟產品的嚴謹性。我認為我們不想把這兩件事混為一談。”