這些舉措是米國拜*登總*統(tǒng)去年 5 月發(fā)布的廣泛行政命令 (EO)授權(quán)的。他們的目標(biāo)是收緊聯(lián)邦政府對其購買的軟件產(chǎn)品的安全要求,希望這些好處也能流向私營部門。標(biāo)簽計(jì)劃旨在讓消費(fèi)者更深入地了解他們購買的軟件和設(shè)備的安全性,并提高消費(fèi)者軟件和物聯(lián)網(wǎng)設(shè)備制造商的透明度。
軟件供應(yīng)鏈安全指南和更新的 SSDF
第一份文件闡明了如何按照 EO 的指示加強(qiáng)軟件供應(yīng)鏈的安全性。該指南遵循 NIST 為滿足 EO 的最后期限而開展的一系列活動(dòng),包括從社區(qū)征求立場文件、在 6 月舉辦虛擬研討會(huì)和在 11 月舉辦第二次虛擬研討會(huì)、與其他聯(lián)邦機(jī)構(gòu)協(xié)商并審查現(xiàn)有的聯(lián)邦指南。
該命令要求 NIST 為負(fù)有軟件采購相關(guān)職責(zé)的聯(lián)邦機(jī)構(gòu)工作人員提供指導(dǎo),旨在幫助聯(lián)邦機(jī)構(gòu)工作人員了解軟件生產(chǎn)商需要哪些信息來了解他們的安全軟件開發(fā)實(shí)踐。新的 NIST 文件闡明了聯(lián)邦機(jī)構(gòu)在獲取軟件或包含軟件的產(chǎn)品時(shí)應(yīng)遵循的最低建議。
該命令還指示 NIST 為軟件生產(chǎn)商定義行動(dòng)或結(jié)果,例如商業(yè)現(xiàn)貨 (COTS) 產(chǎn)品供應(yīng)商、政府現(xiàn)貨軟件開發(fā)商、承包商和其他定制軟件開發(fā)商。為了完成這項(xiàng)任務(wù),NIST更新了其預(yù)先存在的安全軟件開發(fā)框架 (SSDF),該框架已經(jīng)考慮了 EO 中包含的大部分相關(guān)任務(wù)。
NIST 指出,其指導(dǎo)僅限于聯(lián)邦機(jī)構(gòu)采購軟件,其中包括固件、操作系統(tǒng)、應(yīng)用程序和應(yīng)用程序服務(wù)(例如基于云的軟件),以及包含軟件的產(chǎn)品。聯(lián)邦機(jī)構(gòu)開發(fā)的軟件超出范圍,聯(lián)邦機(jī)構(gòu)免費(fèi)直接獲得的開源軟件也是如此。由聯(lián)邦機(jī)構(gòu)購買的軟件捆綁、集成或以其他方式使用的開源軟件在范圍內(nèi)。
根據(jù) EO 的時(shí)間表,到 3 月 6 日,管理和預(yù)算辦公室 (OMB) 必須采取適當(dāng)措施,要求各機(jī)構(gòu)遵守有關(guān)在本命令發(fā)布之日后采購的軟件的此類指南。到 2023 年 5 月 12 日,國土安全部部長與國防部長、司法部長、OMB 主任和 OMB 內(nèi)電子政府辦公室的行政長官協(xié)商后,將向聯(lián)邦采購監(jiān)管局 (FAR ) 委員會(huì)協(xié)調(diào)政府范圍內(nèi)的采購,合同語言要求可供機(jī)構(gòu)購買的軟件供應(yīng)商遵守并證明遵守根據(jù)這些指南發(fā)布的任何要求。
消費(fèi)軟件的網(wǎng)絡(luò)安全標(biāo)簽
NIST 上周發(fā)布的另一份文件是《消費(fèi)軟件網(wǎng)絡(luò)安全標(biāo)簽推薦標(biāo)準(zhǔn)》。EO 指示 NIST 與聯(lián)邦貿(mào)易委員會(huì) (FTC) 和其他機(jī)構(gòu)協(xié)調(diào),啟動(dòng)網(wǎng)絡(luò)安全標(biāo)簽試點(diǎn)計(jì)劃。這些標(biāo)簽計(jì)劃旨在教育公眾了解軟件開發(fā)實(shí)踐的安全能力。
NIST 發(fā)布的文件就計(jì)劃所有者在標(biāo)簽計(jì)劃中的作用、可以為標(biāo)簽提供信息的基線技術(shù)標(biāo)準(zhǔn)、標(biāo)簽呈現(xiàn)標(biāo)準(zhǔn)和合格評定標(biāo)準(zhǔn)提出了建議。本文檔還探討了軟件標(biāo)簽的消費(fèi)者教育和可用性。
本文檔的目標(biāo)是指導(dǎo)軟件提供商如何向消費(fèi)者傳達(dá)“在軟件的生命周期中采用了安全軟件開發(fā)的良好實(shí)踐,并且與安全相關(guān)的軟件架構(gòu)、功能和其他屬性遵循基線技術(shù)標(biāo)準(zhǔn)。 ”
消費(fèi)物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標(biāo)簽
EO 要求 NIST 為物聯(lián)網(wǎng) (IoT) 產(chǎn)品的消費(fèi)者標(biāo)簽計(jì)劃制定標(biāo)準(zhǔn)。根據(jù) EO,“標(biāo)準(zhǔn)應(yīng)考慮此類消費(fèi)者標(biāo)簽計(jì)劃是否可以與符合適用法律的任何類似的現(xiàn)有政府計(jì)劃一起運(yùn)行或仿效?!?/span>
NIST 利用其在物聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全方面的現(xiàn)有工作以及最近關(guān)于受感染物聯(lián)網(wǎng)產(chǎn)品及其漏洞的公開新聞報(bào)道,于 2021 年 8 月 31 日和 12 月 3 日發(fā)布了標(biāo)準(zhǔn)草案版本。這些文件可在 9 月 14 日的研討會(huì)上供社區(qū)反饋和 2021 年 12 月 9 日,并以書面形式提交。
基于這項(xiàng)活動(dòng),NIST 決定產(chǎn)品標(biāo)準(zhǔn)應(yīng)該表達(dá)為結(jié)果,而不是關(guān)于如何實(shí)現(xiàn)它們的具體陳述。此外,NIST 得出的結(jié)論是,鑒于這些基準(zhǔn)標(biāo)準(zhǔn)適用于各種產(chǎn)品的方式多種多樣,沒有一種單一的合格評定方法是合適的。最后,NIST 確定單個(gè)二元標(biāo)簽(例如批準(zhǔn)印章)表明產(chǎn)品符合基線標(biāo)準(zhǔn)可能是最合適的,再加上一種分層方法,可以引導(dǎo)感興趣的消費(fèi)者在線獲取更多詳細(xì)信息。
消費(fèi)者網(wǎng)絡(luò)安全標(biāo)簽試點(diǎn):方法和反饋
最后,NIST 公布了其關(guān)于如何在軟件和物聯(lián)網(wǎng)標(biāo)簽上開展試點(diǎn)項(xiàng)目的想法,并考慮到它已經(jīng)闡明的標(biāo)準(zhǔn)。EO 指示 NIST “根據(jù)公布的標(biāo)準(zhǔn)進(jìn)行試點(diǎn),并在命令發(fā)布之日起一年內(nèi)對試點(diǎn)計(jì)劃進(jìn)行審查,與私營部門和相關(guān)機(jī)構(gòu)協(xié)商,以評估計(jì)劃的有效性,確定什么可以繼續(xù)改進(jìn),并提交總結(jié)報(bào)告?!?/span>
NIST 已確定它不會(huì)設(shè)計(jì)特定標(biāo)簽作為試點(diǎn)的一部分。相反,該試點(diǎn)項(xiàng)目將由 NIST 組成,尋求利益相關(guān)者對消費(fèi)物聯(lián)網(wǎng)產(chǎn)品和消費(fèi)軟件當(dāng)前或未來潛在的標(biāo)簽工作以及這些工作如何與 NIST 建議保持一致的貢獻(xiàn)。
為此,NIST 正在尋求對試點(diǎn)項(xiàng)目的貢獻(xiàn),并尋求有關(guān)現(xiàn)有標(biāo)簽方案是否符合 NIST 建議的信息,以及目前不運(yùn)營標(biāo)簽方案的組織是否有興趣根據(jù) NIST 建議建立新項(xiàng)目等話題。對試點(diǎn)的貢獻(xiàn)必須在 2022 年 3 月 15 日之前提交。
這是“非常深”的東西
應(yīng)用安全公司 Veracode 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Chris Wysopal 稱贊 NIST 在總結(jié)大量文件中的大量密集信息方面的敏捷性?!拔艺J(rèn)為他們在總結(jié)方面做得很好,但內(nèi)容非常深刻,”他告訴 CSO。“人們將不得不閱讀大量內(nèi)容,以了解作為供應(yīng)商的要求。”
他特別贊揚(yáng) NIST 對 SSDF 的更新考慮到了軟件的構(gòu)建者和用戶。“這不僅僅是純粹面向供應(yīng)商的。這是有道理的,因?yàn)楫?dāng)您談?wù)摪踩詴r(shí),有人在銷售技術(shù),然后有人在操作它。該等式的兩個(gè)部分都需要了解對方做了什么以及期望是什么。建設(shè)者和運(yùn)營者都在同一個(gè)框架下工作很有意義?!?/span>
Wysopal 的一項(xiàng)批評與軟件開發(fā)人員如何證明符合安全軟件實(shí)踐有關(guān)。“我不太喜歡的一點(diǎn)是,他們似乎認(rèn)為很多此類證明可以在產(chǎn)品線級別或公司級別完成,而不是在您購買的特定產(chǎn)品上完成?!?/span>
“很多時(shí)候,當(dāng)推出新產(chǎn)品或收購小供應(yīng)商時(shí),它會(huì)被重新命名并包含在該公司的產(chǎn)品中,這些產(chǎn)品幾乎沒有更成熟產(chǎn)品的嚴(yán)謹(jǐn)性。我認(rèn)為我們不想把這兩件事混為一談?!?/span>
返回列表