這些舉措是米國拜*登總*統去年 5 月發布的廣泛行政命令 (EO)授權的。他們的目標是收緊聯邦政府對其購買的軟件產品的安全要求,希望這些好處也能流向私營部門。標簽計劃旨在讓消費者更深入地了解他們購買的軟件和設備的安全性,并提高消費者軟件和物聯網設備制造商的透明度。
軟件供應鏈安全指南和更新的 SSDF
第一份文件闡明了如何按照 EO 的指示加強軟件供應鏈的安全性。該指南遵循 NIST 為滿足 EO 的最后期限而開展的一系列活動,包括從社區征求立場文件、在 6 月舉辦虛擬研討會和在 11 月舉辦第二次虛擬研討會、與其他聯邦機構協商并審查現有的聯邦指南。
該命令要求 NIST 為負有軟件采購相關職責的聯邦機構工作人員提供指導,旨在幫助聯邦機構工作人員了解軟件生產商需要哪些信息來了解他們的安全軟件開發實踐。新的 NIST 文件闡明了聯邦機構在獲取軟件或包含軟件的產品時應遵循的最低建議。
該命令還指示 NIST 為軟件生產商定義行動或結果,例如商業現貨 (COTS) 產品供應商、政府現貨軟件開發商、承包商和其他定制軟件開發商。為了完成這項任務,NIST更新了其預先存在的安全軟件開發框架 (SSDF),該框架已經考慮了 EO 中包含的大部分相關任務。
NIST 指出,其指導僅限于聯邦機構采購軟件,其中包括固件、操作系統、應用程序和應用程序服務(例如基于云的軟件),以及包含軟件的產品。聯邦機構開發的軟件超出范圍,聯邦機構免費直接獲得的開源軟件也是如此。由聯邦機構購買的軟件捆綁、集成或以其他方式使用的開源軟件在范圍內。
根據 EO 的時間表,到 3 月 6 日,管理和預算辦公室 (OMB) 必須采取適當措施,要求各機構遵守有關在本命令發布之日后采購的軟件的此類指南。到 2023 年 5 月 12 日,國土安全部部長與國防部長、司法部長、OMB 主任和 OMB 內電子政府辦公室的行政長官協商后,將向聯邦采購監管局 (FAR ) 委員會協調政府范圍內的采購,合同語言要求可供機構購買的軟件供應商遵守并證明遵守根據這些指南發布的任何要求。
消費軟件的網絡安全標簽
NIST 上周發布的另一份文件是《消費軟件網絡安全標簽推薦標準》。EO 指示 NIST 與聯邦貿易委員會 (FTC) 和其他機構協調,啟動網絡安全標簽試點計劃。這些標簽計劃旨在教育公眾了解軟件開發實踐的安全能力。
NIST 發布的文件就計劃所有者在標簽計劃中的作用、可以為標簽提供信息的基線技術標準、標簽呈現標準和合格評定標準提出了建議。本文檔還探討了軟件標簽的消費者教育和可用性。
本文檔的目標是指導軟件提供商如何向消費者傳達“在軟件的生命周期中采用了安全軟件開發的良好實踐,并且與安全相關的軟件架構、功能和其他屬性遵循基線技術標準。 ”
消費物聯網產品的網絡安全標簽
EO 要求 NIST 為物聯網 (IoT) 產品的消費者標簽計劃制定標準。根據 EO,“標準應考慮此類消費者標簽計劃是否可以與符合適用法律的任何類似的現有政府計劃一起運行或仿效。”
NIST 利用其在物聯網產品網絡安全方面的現有工作以及最近關于受感染物聯網產品及其漏洞的公開新聞報道,于 2021 年 8 月 31 日和 12 月 3 日發布了標準草案版本。這些文件可在 9 月 14 日的研討會上供社區反饋和 2021 年 12 月 9 日,并以書面形式提交。
基于這項活動,NIST 決定產品標準應該表達為結果,而不是關于如何實現它們的具體陳述。此外,NIST 得出的結論是,鑒于這些基準標準適用于各種產品的方式多種多樣,沒有一種單一的合格評定方法是合適的。最后,NIST 確定單個二元標簽(例如批準印章)表明產品符合基線標準可能是最合適的,再加上一種分層方法,可以引導感興趣的消費者在線獲取更多詳細信息。
消費者網絡安全標簽試點:方法和反饋
最后,NIST 公布了其關于如何在軟件和物聯網標簽上開展試點項目的想法,并考慮到它已經闡明的標準。EO 指示 NIST “根據公布的標準進行試點,并在命令發布之日起一年內對試點計劃進行審查,與私營部門和相關機構協商,以評估計劃的有效性,確定什么可以繼續改進,并提交總結報告?!?/span>
NIST 已確定它不會設計特定標簽作為試點的一部分。相反,該試點項目將由 NIST 組成,尋求利益相關者對消費物聯網產品和消費軟件當前或未來潛在的標簽工作以及這些工作如何與 NIST 建議保持一致的貢獻。
為此,NIST 正在尋求對試點項目的貢獻,并尋求有關現有標簽方案是否符合 NIST 建議的信息,以及目前不運營標簽方案的組織是否有興趣根據 NIST 建議建立新項目等話題。對試點的貢獻必須在 2022 年 3 月 15 日之前提交。
這是“非常深”的東西
應用安全公司 Veracode 的聯合創始人兼首席技術官 Chris Wysopal 稱贊 NIST 在總結大量文件中的大量密集信息方面的敏捷性?!拔艺J為他們在總結方面做得很好,但內容非常深刻,”他告訴 CSO。“人們將不得不閱讀大量內容,以了解作為供應商的要求。”
他特別贊揚 NIST 對 SSDF 的更新考慮到了軟件的構建者和用戶?!斑@不僅僅是純粹面向供應商的。這是有道理的,因為當您談論安全性時,有人在銷售技術,然后有人在操作它。該等式的兩個部分都需要了解對方做了什么以及期望是什么。建設者和運營者都在同一個框架下工作很有意義?!?/span>
Wysopal 的一項批評與軟件開發人員如何證明符合安全軟件實踐有關?!拔也惶矚g的一點是,他們似乎認為很多此類證明可以在產品線級別或公司級別完成,而不是在您購買的特定產品上完成?!?/span>
“很多時候,當推出新產品或收購小供應商時,它會被重新命名并包含在該公司的產品中,這些產品幾乎沒有更成熟產品的嚴謹性。我認為我們不想把這兩件事混為一談?!?/span>
返回列表