全球软件供应链始终处于低迷状态 来自网络犯罪分子的威胁 他们威胁要窃取敏感信息或知识产权并损害系统完整性。这些问题可能会影响商业公司以及政府安全可靠地向公众提供服务的能力。
美国管理和预算办公室 (OMB) 于 2022 年 XNUMX 月发布了一份关于此事的备忘录,我们对此进行了报道 点击这里 详细。 2022 年 XNUMX 月,发布了一份新备忘录,这次重点关注软件供应链的安全性和完整性,强调了 SBOM 的重要作用。它提出了一系列精确的要求,并首次分享了实施变更的实际约束时间表。
该备忘录包含与第 14028 号行政命令(EO)《改善国家网络安全》相关的两个要点:
- EO 指示美国国家标准与技术研究所 (NIST) 分享旨在提高软件供应链安全性的开发实践指南。为了帮助实现这一目标,NIST 发布了两个文档:安全软件开发框架 (SSDF)、 SP 800-218及 软件供应链安全指南。它们一起被称为 NIST 指南,并概述了构成创建安全软件基础的一组实践。
- 行政命令还指示管理和预算办公室开始要求各机构遵守 NIST 指南和任何其他更新。
自我证明是先决条件,但这就是一切吗?
软件生产商现在需要在开始使用其软件之前向机构提供自我认证。实际上有三类需要自认证:新软件购买、大版本升级和软件续订。目标是为各机构配备安全且有弹性的软件产品,保护他们免受威胁,例如 SolarWinds的 经验丰富,这损害了多个机构。
让我们从基础知识开始:自我证明到底是什么?
自我证明是一份类似于一致性声明的文档,证明软件生产商遵守 NIST 指南中的实践。这个想法是让各机构为符合备忘录要求的每个第三方软件产品或服务获得自我认证。这包括软件更新和主要版本更新。
备忘录中的另一个要点是各机构鼓励软件公司实现产品包容性。这将使他们能够向所有采购机构提供相同的证明。
该机构可以保留自我证明文件,除非软件公司公开发布该文件并在其提案中提供该发布的链接。
注意:虽然迄今为止所有其他备忘录或指南都声称自我证明足够好,但本备忘录或指南将信任和透明度设置为关键目标。它特别关注软件供应链,而不仅仅是网络安全或 SSDF(即使它们是其中的一部分)。
如果软件公司无法提供标准格式的自我证明,会发生什么情况?
软件生产商可能无法证明标准自我证明表格中确定的 NIST 指南中的一项或多项实践。在这种情况下,请求软件的机构将要求公司:
- 确定那些他们无法证明的做法
- 记录用于减轻这些风险的所有实践
- 制定行动计划和里程碑 (POA&M)
当然,该机构必须确保该文档不会公开发布(无论是由供应商还是由该机构本身)。
假设供应商提供了所有文件并且机构对此感到满意。在这种情况下,尽管生产者缺乏完整的自我证明,后者仍可以使用该软件产品或服务。
可接受的自我证明需要包括哪些内容?
自我证明文件必须包括以下最低要求:
- 软件公司名称
- 该声明所指的软件产品的描述(理想情况下,这一点描述了软件公司或产品线级别,包括向机构提供的所有非机密产品)
- 一份声明,确认供应商的运营符合安全开发实践和任务(在自我证明表格中逐项列出)
这种类型的自我证明是最低要求的级别。尽管如此,如果机构希望在没有它的情况下采购软件(例如,由于其重要性),他们可以在第三方评估的帮助下进行基于风险的决定(定义在 M-21-30).
尽管如此,该指令还是鼓励各机构使用标准的自我证明表格。联邦采购监管 (FAR) 委员会将提议围绕使用这种标准且统一的自我证明表格制定规则。
开源软件的自我认证
假设该机构希望获取开源软件或包含开源组件的软件产品。在这种情况下,它可以求助于经过认证的 FedRAMP 第三方评估机构 (3PAO) 提供的第三方评估或由该机构本身批准的评估。
只要 3PAO 使用 NIST 指南作为基准,此类评估就可以代替供应商的自我认证。
SBOM 正在成为行业标准。你准备好了吗?
虽然自我证明是所需的最低级别,但如果机构想要获得的产品或服务至关重要并且无法以标准形式提供自我证明,则机构可能不需要它。
重要的是,该备忘录鼓励各机构从供应商那里获取工件,以证明其符合安全软件开发实践。其中一种做法包括制定 SBOM。
什么是 SBOM?它是如何工作的?
SBOM 是指软件物料清单,是软件产品开发和交付过程中所有组件和依赖项的清单。
机构可能需要 斯博姆 作为招标要求的一部分,具体取决于软件对机构的重要性。
该备忘录包括以下机构采购和使用 SBOM 的指南:
- 该机构可以保留 SBOM,除非软件生产商发布该 SBOM 并与该机构共享其链接。
- SBOM 需要使用定义的数据格式之一生成 NTIA报告 “软件物料清单 (SBOM) 的最低要素”或由 网络安全和基础设施安全局.
- 在考虑 SBOM 时,各机构应考虑 SBOM 与其他机构维护的软件生产商的其他工件的互惠性。这是基于直接工件的适用性和货币性。
- 如有必要,该机构可能需要 SBOM 以外的工件,例如与用于验证源代码完整性或执行漏洞检查的自动化工具和流程相关的工件。
- 该机构还可能要求软件公司出示证据证明他们参与了 漏洞披露计划.
该备忘录还建议各机构在采购过程中尽早让供应商了解这些要求。为了遵守该命令和 NIST 指南,各机构需要适当规划并将所有要求纳入其软件评估过程。请注意,这也应该与备忘录指定的时间表一致(这将在下一节中介绍)。
各机构必须在提案请求 (RFP) 或其他招标文件中明确要求。这里的想法是让机构确保供应商实施和使用 安全软件开发实践 在整个软件开发生命周期中都符合 NIST 指南。
SBOM 显然是广泛使用的行业最佳实践,特别是在缓解 软件供应链风险.
为了帮助公司建立对其软件产品的信任,我们最近推出了一个易于使用的平台,该平台有助于生成 SBOM 并在组织内部和组织之间共享。 试试看 免费了解生成、管理和共享 SBOM 有多么容易。
它不再只是一个建议;而是一个建议。现在有一个必须遵循的时间表
各机构需要按照此时间表遵守备忘录要求:
- 代理商有 为期90天 盘点所有第三方软件,包括“关键软件”的单独盘点。
- 内 为期120天,他们需要创建“一个一致的流程,向供应商传达本备忘录中的相关要求,并确保软件提供商未公开发布的证明信被收集在一个中央机构系统中。”
- 他们还有 为期270天 收集尚未公开发布的“关键软件”证明信。一年内,各机构应收集所有第三方软件的信件。
- 最后,在 为期180天 自备忘录日期(14 年 2022 月 XNUMX 日)起,机构 CIO 需要评估任何培训需求并制定培训计划以审查和验证证明文件和工件。
各机构可以在备忘录中规定的任何相关截止日期前至少 30 天请求延期,并提出满足未完成要求的计划。您也可以请求豁免,但仅限于特殊情况且期限有限。
总结
OMB 将在备忘录日期后 90 天内(直到 2022 年 XNUMX 月中旬)分享提交豁免或延期请求的具体说明。此外,在与 CISA 和总务管理局协商后,它将确定“软件认证和工件的集中存储库”的要求,并在机构之间建立正确的保护和共享机制。
这样的中心位置有一天可能会成为除自我证明表格或 SBOM 之外的各种安全证据和证明的中心位置。将所有证据放在一个可共享的位置有助于组织处理共同的问题,例如新出现的漏洞或 CVE。
这正是 Scribe 的意义所在。看一眼 这页 详细了解我们用于在组织内部和跨组织生成、管理和共享 SBOM 的综合平台。
此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多
相关文章
