軟件供應(yīng)鏈安全是2024年網(wǎng)絡(luò)安全領(lǐng)域的重點(diǎn)議題之一，因?yàn)榻陙?lái)SolarWinds、Log4j2、微軟、Okta、npm等一系列軟件供應(yīng)鏈攻擊已經(jīng)為業(yè)界敲響了警鐘。利用文件傳輸服務(wù)(MFT)漏洞的勒索軟件攻擊更是給數(shù)以千計(jì)的企業(yè)造成重大損失。

面對(duì)快速增長(zhǎng)的軟件供應(yīng)鏈威脅，各國(guó)政府紛紛頒布法規(guī)和政策，重點(diǎn)覆蓋軟件的安全設(shè)計(jì)、安全開(kāi)發(fā)、軟件責(zé)任和自我證明，以及第三方認(rèn)證等議題。

對(duì)于業(yè)務(wù)全球化的軟件供應(yīng)商(包括網(wǎng)絡(luò)安全廠商和任何產(chǎn)品中包括軟件和數(shù)字元素的供應(yīng)商，例如新能源汽車)來(lái)說(shuō)，熟悉全球軟件供應(yīng)鏈安全法規(guī)已經(jīng)成為拓展海外業(yè)務(wù)的必修課。以下，我們整理了近年來(lái)各國(guó)政府制訂的軟件供應(yīng)鏈安全相關(guān)的政府法規(guī)和國(guó)際項(xiàng)目：

美國(guó)

網(wǎng)絡(luò)安全總統(tǒng)行政命令

美國(guó)軟件供應(yīng)鏈安全指南的大部分內(nèi)容可追溯到拜登的14028號(hào)總統(tǒng)行政命令——“關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令”。雖然該行政命令本身并沒(méi)有給出太多軟件供應(yīng)鏈安全相關(guān)的具體要求，但制定了指導(dǎo)方針。例如，第4節(jié)特別關(guān)注“增強(qiáng)軟件供應(yīng)鏈安全”，并對(duì)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)、管理和預(yù)算辦公室(OMB)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)等提出了要求。

OMB22-18和23-16

根據(jù)總統(tǒng)行政命令，管理和預(yù)算辦公室(OMB)發(fā)布了兩份備忘錄22-18和23-16，每份備忘錄都重點(diǎn)關(guān)注軟件供應(yīng)鏈安全，并開(kāi)始推動(dòng)要求，例如對(duì)所有向美國(guó)聯(lián)邦政府銷售的軟件供應(yīng)商提出要求。政府開(kāi)始自我證明是否遵循安全軟件開(kāi)發(fā)實(shí)踐，例如NIST的安全軟件開(kāi)發(fā)框架(SSDF)。備忘錄還要求在某些情況下使用SBOM，對(duì)于較高風(fēng)險(xiǎn)項(xiàng)目使用第三方評(píng)估服務(wù)。

FDA醫(yī)療設(shè)備網(wǎng)絡(luò)安全法規(guī)/第524B節(jié)

在美國(guó)受到特別關(guān)注的一個(gè)領(lǐng)域是醫(yī)療設(shè)備。最新的法規(guī)來(lái)自美國(guó)食品和藥物管理局(FDA)在《聯(lián)邦食品、藥品和化妝品法案(FD&C)》第524B條中提出的新要求，包括上市前提交醫(yī)療設(shè)備，要求記錄醫(yī)療設(shè)備系統(tǒng)的安全風(fēng)險(xiǎn)管理活動(dòng)，并指出除了漏洞評(píng)估和威脅建模等活動(dòng)之外還需要實(shí)施SBOM。

FDA還特別關(guān)注了醫(yī)療設(shè)備中的開(kāi)源軟件組件的作用，以及從風(fēng)險(xiǎn)管理角度考慮的潛在風(fēng)險(xiǎn)。

SSDF

雖然本身不是監(jiān)管或合同要求，但NIST的安全軟件開(kāi)發(fā)框架(SSDF)是了解美國(guó)軟件供應(yīng)鏈安全必修課。

美國(guó)總統(tǒng)網(wǎng)絡(luò)安全行政令明確要求NIST更新SSDF和OMB，這兩個(gè)框架也是所有向美國(guó)聯(lián)邦政府銷售產(chǎn)品的軟件供應(yīng)商進(jìn)行自我認(rèn)證的關(guān)鍵框架。SSDF利用多個(gè)現(xiàn)有的安全軟件開(kāi)發(fā)框架，例如OWASP的安全應(yīng)用程序成熟度模型(SAMM)和Synopsys的構(gòu)建安全成熟度模型(BSIMM)，來(lái)交叉引用開(kāi)發(fā)安全軟件時(shí)應(yīng)遵守的實(shí)踐。

國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略——軟件責(zé)任

2023年發(fā)布的最新美國(guó)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略(NCS)重點(diǎn)關(guān)注軟件供應(yīng)鏈安全，包括呼吁“重新平衡保衛(wèi)網(wǎng)絡(luò)空間的責(zé)任”。

NCS戰(zhàn)略的關(guān)鍵主題是將焦點(diǎn)從客戶和消費(fèi)者轉(zhuǎn)移到軟件供應(yīng)商，這也是CISA等機(jī)構(gòu)“設(shè)計(jì)安全”計(jì)劃的關(guān)鍵主題。NCS的另一個(gè)重點(diǎn)主題是強(qiáng)調(diào)塑造市場(chǎng)力量以推動(dòng)安全性和彈性，并呼吁開(kāi)展諸如追究數(shù)據(jù)管理者責(zé)任和推動(dòng)安全設(shè)備開(kāi)發(fā)等活動(dòng)，甚至引入了備受爭(zhēng)議的“軟件責(zé)任”主題。

2023年開(kāi)源軟件安全法案

與企業(yè)市場(chǎng)類似，美國(guó)聯(lián)邦政府也越來(lái)越依賴開(kāi)源軟件。2022年的《保護(hù)開(kāi)源軟件法案》公開(kāi)承認(rèn)了這一點(diǎn)。該法案認(rèn)識(shí)到開(kāi)源軟件的重要性，并呼吁CISA等機(jī)構(gòu)直接參與開(kāi)源社區(qū)。它規(guī)定了CISA主任在外聯(lián)和參與方面的職責(zé)，以幫助促進(jìn)提高開(kāi)源軟件生態(tài)系統(tǒng)的安全性。

歐盟

網(wǎng)絡(luò)彈性法案

在歐盟方面，受到全球關(guān)注的立法是《歐盟網(wǎng)絡(luò)彈性法案》。這是一項(xiàng)影響深遠(yuǎn)且覆蓋全面的立法，為包含數(shù)字元素的產(chǎn)品的供應(yīng)商和開(kāi)發(fā)商制定了共同的網(wǎng)絡(luò)安全規(guī)則和要求。

該法案涵蓋硬件和軟件以及任何具有“數(shù)字元素”的產(chǎn)品，與GDPR非常相似。《彈性法案》盡管是在歐盟設(shè)計(jì)的，但適用于所有在歐盟市場(chǎng)銷售的產(chǎn)品，因此具有全球性的深遠(yuǎn)影響。

該法案要求網(wǎng)絡(luò)安全成為具有數(shù)字元素的產(chǎn)品設(shè)計(jì)和開(kāi)發(fā)的關(guān)鍵因素，違規(guī)行為除了會(huì)被處以行政罰款外，還可能導(dǎo)致產(chǎn)品在歐盟市場(chǎng)的銷售受到限制。

人工智能法案

緊隨《網(wǎng)絡(luò)彈性法案》之后的是《歐盟人工智能法案》，該法案的重點(diǎn)是確保在歐盟市場(chǎng)上實(shí)施可信賴的人工智能系統(tǒng)的開(kāi)發(fā)和使用條件?！度斯ぶ悄芊ò浮芬?guī)定了各種可接受的風(fēng)險(xiǎn)級(jí)別，從“低“、”最低“到完全禁止某些用途，例如導(dǎo)致侵犯人類尊嚴(yán)或操縱人類行為的用途。

該法案適用于所有在歐盟投放和使用的人工智能系統(tǒng)和服務(wù)，因此具備全球性的影響力。被視為高風(fēng)險(xiǎn)系統(tǒng)的生產(chǎn)商需要執(zhí)行各種風(fēng)險(xiǎn)管理和治理活動(dòng)，并自我證明遵守該法案，違規(guī)可能會(huì)導(dǎo)致高達(dá)全球營(yíng)業(yè)額的4%或高達(dá)數(shù)千萬(wàn)歐元的罰款。

加拿大

加拿大網(wǎng)絡(luò)安全中心(CCCS)協(xié)助出版了《改變網(wǎng)絡(luò)安全風(fēng)險(xiǎn)平衡：設(shè)計(jì)和默認(rèn)安全的原則和方法》。

它還將軟件供應(yīng)鏈攻擊確定為CCCS2023-2024國(guó)家網(wǎng)絡(luò)威脅評(píng)估中的一個(gè)關(guān)鍵問(wèn)題。CCCS還在2023年發(fā)布了《保護(hù)您的組織免受軟件供應(yīng)鏈威脅》，為使用SSC的公司提供指導(dǎo)。

澳大利亞

2023年3月，澳大利亞網(wǎng)絡(luò)安全中心(ACSC)發(fā)布了《軟件開(kāi)發(fā)指南》，重點(diǎn)關(guān)注跨軟件開(kāi)發(fā)生命周期和環(huán)境的各種安全控制。它還強(qiáng)調(diào)需要進(jìn)行應(yīng)用程序安全控制和測(cè)試來(lái)修復(fù)漏洞，并引用了SBOM的用例。澳大利亞還參加了“四方網(wǎng)絡(luò)安全伙伴關(guān)系：安全軟件聯(lián)合原則”的國(guó)際項(xiàng)目。

國(guó)際協(xié)作項(xiàng)目

雖然各國(guó)都忙于推動(dòng)自己的軟件安全議程，但全球范圍內(nèi)的協(xié)作并沒(méi)有停止腳步。例如，一項(xiàng)被稱為“四方網(wǎng)絡(luò)安全伙伴關(guān)系：安全軟件聯(lián)合原則”，于2023年5月發(fā)布，由美國(guó)、印度、日本和澳大利亞合作制定。

“安全軟件聯(lián)合原則“的重點(diǎn)是將安全軟件開(kāi)發(fā)實(shí)踐納入政府政策和供應(yīng)商的軟件采購(gòu)中。它與NISTSSDF中的四個(gè)階段相一致，并討論了要求軟件生產(chǎn)商進(jìn)行自我證明甚至在必要時(shí)進(jìn)行第三方認(rèn)證的提議。