網路安全行政命令:保護軟體供應鏈
美國於2021年5月12日釋出了《關於改善國家網路安全》的第14028號行政命令(EO),明確要求美國聯邦政府加強軟體供應鏈安全管控。為響應號召,國家標準與技術研究所(NIST)於2021年6月25日釋出了《Definition of Critical Software UnderExecutive Order(EO)14028(行政命令14028下的“關鍵軟體”定義)》,並於2021年7月9日釋出了《SecurityMeasures for “EO-Critical Software” Use Under Executive Order(EO)14028(“EO關鍵軟體”使用的安全措施)》,這表明美國正逐步推進EO行政命令的執行。按照下圖《EO第4節任務及時間線》,美國正逐步釋出“關鍵軟體”的相關要求及指南,並推進其最終落實,預計將於2022年5月基本完成。
新的行政命令有助於培養一種更加協作和統一的網路安全方法,這種方法強調了保護軟體的重要性。
確保軟體供應鏈安全
行政命令的第四部分很重要佔整個命令的25%。雖然最終的細節需要幾個月的時間來確定,但美國國家標準與技術研究所(NIST)已經開始了初步指導方針的制定過程,從關鍵軟體的定義和關鍵軟體類別的列表開始。最近,NIST概述了關鍵軟體的安全措施,包括軟體程式碼自動化測試的最低標準。
隨著網路安全問題已成為全球安全性問題,我國也在網路安全方面不斷髮布相關政策以確保網路及資料等安全。國內外不斷髮布的關於保護軟體供應鏈的最佳實踐的指南,要求軟體供應商應該考慮如何影響他們的業務,以及他們在未來幾個月可能需要實施哪些更改。
開發環境安全性:
軟體開發環境必須具有與軟體執行環境相同或更高的安全控制。這將需要重要且持續的安全流程,從建立身份驗證和訪問的程度到採用資料加密和稽核信任關係。
一致性和公開:
關鍵要素是要求供應商證明符合訂單中概述的安全編碼指南。這意味著開發環境必須可由政府或其他客戶稽核。這可能會使標準化第三方審計得到發展,幫助供應商在銷售過程中節省時間。
一個關鍵元素是呼籲供應商證明符合訂單中概述的安全編碼指南。這意味著政府或其他客戶應該對開發環境進行稽核。這可能會帶來標準化第三方審計的發展,使供應商在銷售過程中節省時間。同時,對發現的安全漏洞及時披露有助於強化網路安全防禦。
軟體材料清單:
隨著安全風險意識的提高,政府現在要求軟體中包含的內容透明化。考慮到現代軟體主要由現有程式碼組成,其中大部分來自開源庫。由於大多數開原始碼都包含漏洞(我們的研究發現 70% 的應用程式包含開源庫中的漏洞),因此組織不可能在不評估其應用程式的開源元件的安全性的情況下聲稱其軟體是安全的。SBOM 強制組織分析他們使用的原始碼,並對其軟體(包括任何開源元件)的安全性負責。
隨著安全風險意識的增強,政府現在要求對軟體中包含的內容透明化。考慮到現代軟體主要是由現有的程式碼組成的,這些程式碼大部分來自開原始碼庫。由於大多數開原始碼都包含漏洞(研究發現70%的應用程式在開原始碼庫中都包含漏洞),如果沒有評估其應用程式的開放原始碼元件的安全性,企業就不能宣稱其軟體是安全的。這就要求企業應透過靜態程式碼檢測或SCA等分析所用原始碼的安全性,並對它們的軟體(包括任何開放原始碼元件)的安全性負責。
自動化應用程式測試:
使用自動化工具如 靜態程式碼檢測工具(或類似流程)來檢查已知和潛在漏洞並對其進行修復有助於減少軟體安全漏洞。這些工具應該定期執行,或者至少在產品、版本或更新發布之前執行。甚至在DevsecOps中這些工具需要整合到開發過程中。
在NIST(國家標準與技術研究所)關於關鍵軟體安全的指南中,建議使用自動化測試、靜態和動態分析以及安全編碼技術的使用進行威脅建模。
合規性和補救:
要求在命令之前採購軟體的機構在必要時透過補救來遵守規定。這實際上是軟體供應商面臨的最大障礙之一,因為修復包括“安全債務”(未經測試的程式碼或未解決的缺陷)的舊軟體是困難和耗時的。供應商通常會選擇從頭開始重寫軟體,而不是緩解問題。
Software是現代世界的核心和引擎,一切都建立在程式碼基礎之上,這意味著程式碼危險將一切都置於危險之中。最近對Colonial Pipeline和SolarWinds的網路攻擊不僅表明了軟體供應鏈的弱點,同時也看出了一次網路攻擊可以造成的破壞有多巨大。
加強軟體供應鏈安全不但可以確保軟體穩定執行可信賴,也是築牢網路安全根基的方法之一。透過提高軟體自身安全性,幫助網路系統抵禦那些繞過安全查殺軟體的惡意病毒,提高網路系統“抗毒”能力。
參讀連結:
https://www.darkreading.com/vulnerabilities-threats/cybersecurity-executive-order-securing-the-software-supply-chain
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2786769/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- NSA 和 CISA分享保護軟體供應鏈安全指南
- 軟體供應鏈安全
- 中國信通院首屆3SCON軟體供應鏈安全會議成功召開 聚焦軟體供應鏈全鏈路安全
- Kubernetes 時代的安全軟體供應鏈
- 解決軟體供應鏈安全問題
- 再談“開源軟體供應鏈安全”
- 醫療裝置製造商如何在軟體供應鏈中提高網路安全
- 軟體供應鏈安全如何受到駭客的威脅
- 如何保護Windows網路免受勒索軟體攻擊Windows
- 安全快報 | NIST 更新網路安全供應鏈風險管理指南
- 華為雲CodeArts 12大安全防護機制,端到端全面保障軟體供應鏈安全!
- 工業網際網路供應鏈的安全問題及應對思路
- 英國NCSC針對供應鏈安全釋出新的網路安全指南
- 影響軟體供應鏈安全的10大風險因素
- 守護軟體供應鏈安全,DevSecOps頭部廠商「懸鏡安全」完成B輪數億元融資dev
- 軟體供應鏈中斷時代
- 網路安全中如何對加密軟體進行安全防護?加密
- 保護網站安全網站
- 保護開原始碼供應鏈或可有助於防止下一次大型網路攻擊原始碼
- 72 個網路應用安全實操要點,全方位保護 Web 應用的安全Web
- 網際網路公司資料安全保護新探索
- 數字生態系統安全演進:軟體供應鏈中的API安全API
- 網路安全等級保護分為幾級?網路安全學習教程
- 解決軟體供應鏈安全問題需要關注哪些問題
- 溫馨小提示:教你保護網路安全!
- 7個溫馨提示,教你保護網路安全!
- 《網路安全2022:守望高質量》報告解讀 | 回顧供應鏈安全事件,展望2022網路安全風向事件
- 軟體供應鏈風險評估:實現安全 SDLC有哪些步驟
- RSA創新沙盒盤點 | Cycode——軟體供應鏈安全完整解決方案
- 2023年軟體供應鏈風險管理指南
- AI防護網路安全?有時它也自身難保AI
- 網路安全等級保護真的很重要嗎?
- 代理伺服器是如何保護網路安全的?伺服器
- 網際網路通訊安全之終端資料保護
- 國務院:全面加強網路安全和資料安全保護
- 京東為openKylin新增SBOM利器,保障軟體供應鏈安全和可追溯性!
- 安勢資訊加入Linux基金會OpenChain專案,助力軟體供應鏈安全LinuxAI
- 評估軟體供應鏈安全可關注這5個關鍵問題