2022年9月14日,美國白宮管理和預算辦公室(OMB)釋出《利用安全的軟體開發實踐增強軟體供應鏈的安全性》(Enhancing the Security of the Software Supply Chain through Secure Software Development Practices)備忘錄(以下簡稱《備忘錄》)。《備忘錄》旨在敦促美國聯邦機構遵循美國國家標準與技術研究院(NIST)制定的一系列增強軟體供應鏈安全的標準指南。本文對《備忘錄》的制定背景、內容要點加以研究梳理,並對其產生的影響進行簡要分析思考。
一、背景概述
美國在遭遇以SolarWinds為代表的數起軟體供應鏈安全大型事件之後,緊急出臺了一系列政策法規以確保國家軟體供應鏈安全,如《關於改善國家網路安全的行政命令》(以下簡稱第14028號行政令)《確保資訊和通訊技術及服務供應鏈安全的行政令》等。特別是第14028號行政令,是拜登政府上臺以來簽發的為數不多的網路安全綱領性檔案。第14028號行政令將“增強軟體供應鏈安全”作為提升國家網路安全防禦能力的重要舉措之一,提出了構建軟體供應鏈安全標準化工作框架並部署了一系列具體任務(詳見表1)。
表 1 第14028號行政令提出的強化軟體供應鏈安全系列標準規範計劃
《備忘錄》實際上是呼應表1所列的第9項計劃任務。該任務要求“OMB應在NIST釋出‘加強軟體供應鏈安全的最佳實踐指南’之後30天內採取適當措施敦促各聯邦機構遵循該指南”。截至目前,NIST按照第14028號行政令研究制定的軟體供應鏈安全相關的標準指南主要包括:《第14028號行政命令4e小節下的軟體供應鏈安全指南》(Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e)、《系統和組織的網路安全供應鏈風險管理實踐》(Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations)、《軟體供應鏈和DevOps安全實踐》草案(Software Supply Chain and DevOps Security Practices)等。
《備忘錄》可視為對以上指南的進一步梳理,並補充細化了某些具體工作流程。
二、內容要點
《備忘錄》針對第14028號行政令提出的“增強軟體供應鏈安全”要求進行了三方面的細化和完善,即:規定了適用範圍、具體行動和機構職責等內容,並透過附錄給出各機構開展行動的時間表。
(一)適用範圍
《備忘錄》對“軟體”的定義引用了NIST釋出的《軟體供應鏈安全指南》,即包括韌體、作業系統、應用程式、應用程式服務(如:基於雲的軟體)以及包含軟體的產品。
《備忘錄》規定了本檔案適用的範圍。主要包括三類軟體:一是適用各聯邦機構使用自《備忘錄》生效之日後開發的軟體;二是適用自《備忘錄》生效之日後因主流版本變更而修改的現有軟體;三是適用聯邦機構授予合同的其他機構(使用軟體)。
同時,《備忘錄》還明確了排除適用的範圍。即:各聯邦機構自行開發的軟體不適用本《備忘錄》的相關規定,儘管各機構應當採取相應措施保障這些軟體的安全。
(二)具體行動
《備忘錄》規定聯邦機構的資訊長(CIOs)應當與首席採購官(CAOs)及指定部門協商,採取以下兩方面行動來確保軟體生產商已實施並證明其符合安全的軟體開發實踐。
第一,聯邦機構在使用軟體之前必須獲得軟體生產商的自我證明(self-attestation)檔案。自我證明檔案內容包括:軟體生產商名稱、產品描述、軟體生產商遵循安全開發實踐和任務的宣告檔案等。此外,由經認證且使用NIST指南作為評估基準的第三方評估機構提供的第三方評估可以代替軟體生產商的自我證明。
第二,聯邦機構可以根據需要從軟體生產製造商處獲取符合安全軟體開發實踐的證明檔案。如:在招標檔案中要求提供軟體物料清單(SBOM);要求軟體生產商提供參與漏洞披露計劃的證明檔案等。
(三)機構職責
《備忘錄》規定了美國聯邦機構、管理和預算辦公室(OMB)、網路安全和基礎設施安全域性(CISA)應當履行的職責和時間節點。具體如表2所示。
表 2 《備忘錄》提出的所有行動計劃
三、影響分析
總體來看,《備忘錄》的釋出或將產生三方面影響,除了在其國內持續強化軟體供應鏈政策連貫性、敦促既有標準規範加快實施之外,對外也可能會起到一定的示範效應。
首先,《備忘錄》是美方保持其政策連貫性、發揮軟體供應鏈政策雙重戰略價值的方式。一方面,軟體供應鏈政策的對內價值在於維護其自身軟體供應鏈的安全發展和連續性;另一方面,軟體供應鏈政策的對外價值在於可作為一種遏制手段或籌碼,維護美在相關生態中的主導權,出口管制、斷供、禁用等是常見的具體管理措施。
其次,《備忘錄》也反映了美敦促聯邦機構落實軟體供應鏈安全的現實狀況。一方面,從第14028號行政令的時間進度表來看,部分重要任務的實施進度已經滯後。另一方面,《備忘錄》還規定“各聯邦機構可在規定截止日期前30天內向OMB提出延期和豁免相關要求”,為實際規則的落實預留了一定裁量空間。由此不難推斷,美國在建立健全軟體供應鏈安全體系方面並非一蹴而就,而需一段時間。
最後,《備忘錄》在一定程度上會促進其他國家完善軟體供應鏈相關管理機制和規範,並加強自身軟體供應鏈供給能力建設。綠盟科技密切關注軟體供應鏈安全,積極開展創新研究,先後推出多項軟體供應鏈安全產品及解決方案,並聯合業界釋出了《軟體供應鏈安全技術白皮書》,期望為促進我國軟體供應鏈安全發展持續貢獻力量。