10月31日，美國(guó)國(guó)家安全局（NSA）、網(wǎng)絡(luò)安全及基礎(chǔ)設(shè)施安全局（CISA）、國(guó)家情報(bào)總監(jiān)辦公室（ODNI）攜手發(fā)布了保護(hù)軟件供應(yīng)鏈的實(shí)操指南。該指南內(nèi)容總共有40頁，主要提及了軟件供應(yīng)商在供應(yīng)鏈中所需要承擔(dān)的責(zé)任和改進(jìn)方法。指南中提及的供應(yīng)商主要責(zé)任包括：

• 第一，努力識(shí)別可能危及組織、軟件開發(fā)、軟件本身和軟件交付（即內(nèi)部部署或SaaS）環(huán)境的威脅，并實(shí)施相關(guān)的緩解措施；
• 第二，作為客戶和軟件開發(fā)團(tuán)隊(duì)之間的聯(lián)絡(luò)人，需要確保軟件在安全環(huán)境下開發(fā)，并通過安全渠道交付；
• 第三，供應(yīng)商通過合同協(xié)議、軟件發(fā)布和更新、通知和漏洞緩解機(jī)制來提供所交付的軟件額外的安全功能。

對(duì)于軟件供應(yīng)鏈的安全實(shí)踐，NSA、CISA與ODNI有著一系列的規(guī)劃，相關(guān)規(guī)劃落實(shí)在由NSA及CISA所主導(dǎo)的政企工作小組所開發(fā)的“長(zhǎng)期安全框架”（Enduring Security Framework，ESF）之中。這一框架將產(chǎn)出指導(dǎo)美國(guó)重大網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全指南，針對(duì)軟件供應(yīng)鏈總計(jì)有3部分：首先是今年9月發(fā)布、鎖定軟件開發(fā)者的《Securing the Software Supply Chain for Developers》，10月31日發(fā)布的指南適用于軟件供應(yīng)商，下一步則會(huì)發(fā)布針對(duì)軟件供應(yīng)鏈客戶使用者的版本。

該指南針對(duì)軟件供應(yīng)商的供應(yīng)鏈安全提出了非常多的建議，現(xiàn)將主要要點(diǎn)如下概述：

第一，該指南敦促軟件供應(yīng)商在軟件收發(fā)供貨過程中保證供應(yīng)鏈安全。供應(yīng)商有義務(wù)做到確認(rèn)發(fā)貨的軟件與客戶收到的軟件是一樣的；需要?jiǎng)?chuàng)建一個(gè)安全的哈希值來驗(yàn)證文件是否傳送正確；需要確保軟件傳輸通信渠道是安全的。需要通過利用國(guó)際公認(rèn)的標(biāo)準(zhǔn)（如NIST SSDF）對(duì)軟件進(jìn)行最終檢查，這有助于確保在軟件發(fā)布前滿足軟件功能和安全要求。

第二，該指南認(rèn)為供應(yīng)商應(yīng)提供一種機(jī)制，通過在整個(gè)軟件生命周期內(nèi)對(duì)代碼進(jìn)行數(shù)字簽名，來驗(yàn)證軟件發(fā)布的完整性。經(jīng)過數(shù)字簽名的代碼，使代碼接收者以及客戶能夠積極地驗(yàn)證和信任代碼的來源和完整性。

第三，該指南要求供應(yīng)商必須確保本地開發(fā)的軟件和由第三方供應(yīng)商提供的任何組件都需要符合安全要求。由于第三方提供的軟件和模塊通常會(huì)包含在供應(yīng)商發(fā)布的軟件產(chǎn)品中，為此，供應(yīng)商可以通過召集專家評(píng)估第三方提供的軟件是否符合適用的安全要求、與第三方軟件提供者簽訂合同協(xié)議來解決潛在的第三方軟件問題。

第四，該指南認(rèn)為供應(yīng)商應(yīng)盡一切努力，確保提供給客戶的任何軟件中不存在公開的或容易識(shí)別的漏洞。在向客戶提供軟件之前，需要測(cè)試、了解和消除軟件中的漏洞，以防止提供容易被破壞的代碼。需要建立一個(gè)由架構(gòu)師、開發(fā)、測(cè)試人員、密碼學(xué)家和人為因素工程師組成的漏洞評(píng)估小組，其任務(wù)是識(shí)別軟件中可利用的弱點(diǎn)。需實(shí)時(shí)檢查與第三方軟件和與軟件相關(guān)的開放源碼組件相關(guān)的軟件物料清單（SBOM）。在相關(guān)問題公布后，建立并遵循企業(yè)對(duì)嵌入式組件升級(jí)的指導(dǎo)。

該指南下載地址：https://media.defense.gov/2022/Oct/31/2003105368/-1/-1/0/SECURING_THE_SOFTWARE_SUPPLY_CHAIN_SUPPLIERS.PDF