軟件供應(yīng)鏈安全是2024年網(wǎng)絡(luò)安全領(lǐng)域的重點(diǎn)議題之一，因?yàn)榻陙鞸olarWinds、Log4j2、微軟、Okta、npm等一系列軟件供應(yīng)鏈攻擊已經(jīng)為業(yè)界敲響了警鐘。利用文件傳輸服務(wù)(MFT)漏洞的勒索軟件攻擊更是給數(shù)以千計(jì)的企業(yè)造成重大損失。

面對快速增長的軟件供應(yīng)鏈威脅，各國政府紛紛頒布法規(guī)和政策，重點(diǎn)覆蓋軟件的安全設(shè)計(jì)、安全開發(fā)、軟件責(zé)任和自我證明，以及第三方認(rèn)證等議題。

對于業(yè)務(wù)全球化的軟件供應(yīng)商(包括網(wǎng)絡(luò)安全廠商和任何產(chǎn)品中包括軟件和數(shù)字元素的供應(yīng)商，例如新能源汽車)來說，熟悉全球軟件供應(yīng)鏈安全法規(guī)已經(jīng)成為拓展海外業(yè)務(wù)的必修課。以下，我們整理了近年來各國政府制訂的軟件供應(yīng)鏈安全相關(guān)的政府法規(guī)和國際項(xiàng)目：

美國

網(wǎng)絡(luò)安全總統(tǒng)行政命令

美國軟件供應(yīng)鏈安全指南的大部分內(nèi)容可追溯到拜登的14028號總統(tǒng)行政命令——“關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令”。雖然該行政命令本身并沒有給出太多軟件供應(yīng)鏈安全相關(guān)的具體要求，但制定了指導(dǎo)方針。例如，第4節(jié)特別關(guān)注“增強(qiáng)軟件供應(yīng)鏈安全”，并對美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)、管理和預(yù)算辦公室(OMB)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)等提出了要求。

OMB22-18和23-16

根據(jù)總統(tǒng)行政命令，管理和預(yù)算辦公室(OMB)發(fā)布了兩份備忘錄22-18和23-16，每份備忘錄都重點(diǎn)關(guān)注軟件供應(yīng)鏈安全，并開始推動要求，例如對所有向美國聯(lián)邦政府銷售的軟件供應(yīng)商提出要求。政府開始自我證明是否遵循安全軟件開發(fā)實(shí)踐，例如NIST的安全軟件開發(fā)框架(SSDF)。備忘錄還要求在某些情況下使用SBOM，對于較高風(fēng)險項(xiàng)目使用第三方評估服務(wù)。

FDA醫(yī)療設(shè)備網(wǎng)絡(luò)安全法規(guī)/第524B節(jié)

在美國受到特別關(guān)注的一個領(lǐng)域是醫(yī)療設(shè)備。最新的法規(guī)來自美國食品和藥物管理局(FDA)在《聯(lián)邦食品、藥品和化妝品法案(FD&C)》第524B條中提出的新要求，包括上市前提交醫(yī)療設(shè)備，要求記錄醫(yī)療設(shè)備系統(tǒng)的安全風(fēng)險管理活動，并指出除了漏洞評估和威脅建模等活動之外還需要實(shí)施SBOM。

FDA還特別關(guān)注了醫(yī)療設(shè)備中的開源軟件組件的作用，以及從風(fēng)險管理角度考慮的潛在風(fēng)險。

SSDF

雖然本身不是監(jiān)管或合同要求，但NIST的安全軟件開發(fā)框架(SSDF)是了解美國軟件供應(yīng)鏈安全必修課。

美國總統(tǒng)網(wǎng)絡(luò)安全行政令明確要求NIST更新SSDF和OMB，這兩個框架也是所有向美國聯(lián)邦政府銷售產(chǎn)品的軟件供應(yīng)商進(jìn)行自我認(rèn)證的關(guān)鍵框架。SSDF利用多個現(xiàn)有的安全軟件開發(fā)框架，例如OWASP的安全應(yīng)用程序成熟度模型(SAMM)和Synopsys的構(gòu)建安全成熟度模型(BSIMM)，來交叉引用開發(fā)安全軟件時應(yīng)遵守的實(shí)踐。

國家網(wǎng)絡(luò)安全戰(zhàn)略——軟件責(zé)任

2023年發(fā)布的最新美國國家網(wǎng)絡(luò)安全戰(zhàn)略(NCS)重點(diǎn)關(guān)注軟件供應(yīng)鏈安全，包括呼吁“重新平衡保衛(wèi)網(wǎng)絡(luò)空間的責(zé)任”。

NCS戰(zhàn)略的關(guān)鍵主題是將焦點(diǎn)從客戶和消費(fèi)者轉(zhuǎn)移到軟件供應(yīng)商，這也是CISA等機(jī)構(gòu)“設(shè)計(jì)安全”計(jì)劃的關(guān)鍵主題。NCS的另一個重點(diǎn)主題是強(qiáng)調(diào)塑造市場力量以推動安全性和彈性，并呼吁開展諸如追究數(shù)據(jù)管理者責(zé)任和推動安全設(shè)備開發(fā)等活動，甚至引入了備受爭議的“軟件責(zé)任”主題。

2023年開源軟件安全法案

與企業(yè)市場類似，美國聯(lián)邦政府也越來越依賴開源軟件。2022年的《保護(hù)開源軟件法案》公開承認(rèn)了這一點(diǎn)。該法案認(rèn)識到開源軟件的重要性，并呼吁CISA等機(jī)構(gòu)直接參與開源社區(qū)。它規(guī)定了CISA主任在外聯(lián)和參與方面的職責(zé)，以幫助促進(jìn)提高開源軟件生態(tài)系統(tǒng)的安全性。

歐盟

網(wǎng)絡(luò)彈性法案

在歐盟方面，受到全球關(guān)注的立法是《歐盟網(wǎng)絡(luò)彈性法案》。這是一項(xiàng)影響深遠(yuǎn)且覆蓋全面的立法，為包含數(shù)字元素的產(chǎn)品的供應(yīng)商和開發(fā)商制定了共同的網(wǎng)絡(luò)安全規(guī)則和要求。

該法案涵蓋硬件和軟件以及任何具有“數(shù)字元素”的產(chǎn)品，與GDPR非常相似?！稄椥苑ò浮繁M管是在歐盟設(shè)計(jì)的，但適用于所有在歐盟市場銷售的產(chǎn)品，因此具有全球性的深遠(yuǎn)影響。

該法案要求網(wǎng)絡(luò)安全成為具有數(shù)字元素的產(chǎn)品設(shè)計(jì)和開發(fā)的關(guān)鍵因素，違規(guī)行為除了會被處以行政罰款外，還可能導(dǎo)致產(chǎn)品在歐盟市場的銷售受到限制。

人工智能法案

緊隨《網(wǎng)絡(luò)彈性法案》之后的是《歐盟人工智能法案》，該法案的重點(diǎn)是確保在歐盟市場上實(shí)施可信賴的人工智能系統(tǒng)的開發(fā)和使用條件。《人工智能法案》規(guī)定了各種可接受的風(fēng)險級別，從“低“、”最低“到完全禁止某些用途，例如導(dǎo)致侵犯人類尊嚴(yán)或操縱人類行為的用途。

該法案適用于所有在歐盟投放和使用的人工智能系統(tǒng)和服務(wù)，因此具備全球性的影響力。被視為高風(fēng)險系統(tǒng)的生產(chǎn)商需要執(zhí)行各種風(fēng)險管理和治理活動，并自我證明遵守該法案，違規(guī)可能會導(dǎo)致高達(dá)全球營業(yè)額的4%或高達(dá)數(shù)千萬歐元的罰款。

加拿大

加拿大網(wǎng)絡(luò)安全中心(CCCS)協(xié)助出版了《改變網(wǎng)絡(luò)安全風(fēng)險平衡：設(shè)計(jì)和默認(rèn)安全的原則和方法》。

它還將軟件供應(yīng)鏈攻擊確定為CCCS2023-2024國家網(wǎng)絡(luò)威脅評估中的一個關(guān)鍵問題。CCCS還在2023年發(fā)布了《保護(hù)您的組織免受軟件供應(yīng)鏈威脅》，為使用SSC的公司提供指導(dǎo)。

澳大利亞

2023年3月，澳大利亞網(wǎng)絡(luò)安全中心(ACSC)發(fā)布了《軟件開發(fā)指南》，重點(diǎn)關(guān)注跨軟件開發(fā)生命周期和環(huán)境的各種安全控制。它還強(qiáng)調(diào)需要進(jìn)行應(yīng)用程序安全控制和測試來修復(fù)漏洞，并引用了SBOM的用例。澳大利亞還參加了“四方網(wǎng)絡(luò)安全伙伴關(guān)系：安全軟件聯(lián)合原則”的國際項(xiàng)目。

國際協(xié)作項(xiàng)目

雖然各國都忙于推動自己的軟件安全議程，但全球范圍內(nèi)的協(xié)作并沒有停止腳步。例如，一項(xiàng)被稱為“四方網(wǎng)絡(luò)安全伙伴關(guān)系：安全軟件聯(lián)合原則”，于2023年5月發(fā)布，由美國、印度、日本和澳大利亞合作制定。

“安全軟件聯(lián)合原則“的重點(diǎn)是將安全軟件開發(fā)實(shí)踐納入政府政策和供應(yīng)商的軟件采購中。它與NISTSSDF中的四個階段相一致，并討論了要求軟件生產(chǎn)商進(jìn)行自我證明甚至在必要時進(jìn)行第三方認(rèn)證的提議。