软件供应链安全是2024年网络安全领域的重点议题之一,因为近年来SolarWinds、Log4j2、微软、Okta、npm等一系列软件供应链攻击已经为业界敲响了警钟。利用文件传输服务(MFT)漏洞的勒索软件攻击更是给数以千计的企业造成重大损失。
面对快速增长的软件供应链威胁,各国政府纷纷颁布法规和政策,重点覆盖软件的安全设计、安全开发、软件责任和自我证明,以及第三方认证等议题。
对于业务全球化的软件供应商(包括网络安全厂商和任何产品中包括软件和数字元素的供应商,例如新能源汽车)来说,熟悉全球软件供应链安全法规已经成为拓展海外业务的必修课。以下,我们整理了近年来各国政府制订的软件供应链安全相关的政府法规和国际项目:
美国
网络安全总统行政命令
美国软件供应链安全指南的大部分内容可追溯到拜登的14028号总统行政命令——“关于改善国家网络安全的行政命令”。虽然该行政命令本身并没有给出太多软件供应链安全相关的具体要求,但制定了指导方针。例如,第4节特别关注“增强软件供应链安全”,并对美国国家标准与技术研究所(NIST)、管理和预算办公室(OMB)、网络安全和基础设施安全局(CISA)等提出了要求。
OMB22-18和23-16
根据总统行政命令,管理和预算办公室(OMB)发布了两份备忘录22-18和23-16,每份备忘录都重点关注软件供应链安全,并开始推动要求,例如对所有向美国联邦政府销售的软件供应商提出要求。政府开始自我证明是否遵循安全软件开发实践,例如NIST的安全软件开发框架(SSDF)。备忘录还要求在某些情况下使用SBOM,对于较高风险项目使用第三方评估服务。
FDA医疗设备网络安全法规/第524B节
在美国受到特别关注的一个领域是医疗设备。最新的法规来自美国食品和药物管理局(FDA)在《联邦食品、药品和化妆品法案(FD&C)》第524B条中提出的新要求,包括上市前提交医疗设备,要求记录医疗设备系统的安全风险管理活动,并指出除了漏洞评估和威胁建模等活动之外还需要实施SBOM。
FDA还特别关注了医疗设备中的开源软件组件的作用,以及从风险管理角度考虑的潜在风险。
SSDF
虽然本身不是监管或合同要求,但NIST的安全软件开发框架(SSDF)是了解美国软件供应链安全必修课。
美国总统网络安全行政令明确要求NIST更新SSDF和OMB,这两个框架也是所有向美国联邦政府销售产品的软件供应商进行自我认证的关键框架。SSDF利用多个现有的安全软件开发框架,例如OWASP的安全应用程序成熟度模型(SAMM)和Synopsys的构建安全成熟度模型(BSIMM),来交叉引用开发安全软件时应遵守的实践。
国家网络安全战略——软件责任
2023年发布的最新美国国家网络安全战略(NCS)重点关注软件供应链安全,包括呼吁“重新平衡保卫网络空间的责任”。
NCS战略的关键主题是将焦点从客户和消费者转移到软件供应商,这也是CISA等机构“设计安全”计划的关键主题。NCS的另一个重点主题是强调塑造市场力量以推动安全性和弹性,并呼吁开展诸如追究数据管理者责任和推动安全设备开发等活动,甚至引入了备受争议的“软件责任”主题。
2023年开源软件安全法案
与企业市场类似,美国联邦政府也越来越依赖开源软件。2022年的《保护开源软件法案》公开承认了这一点。该法案认识到开源软件的重要性,并呼吁CISA等机构直接参与开源社区。它规定了CISA主任在外联和参与方面的职责,以帮助促进提高开源软件生态系统的安全性。
欧盟
网络弹性法案
在欧盟方面,受到全球关注的立法是《欧盟网络弹性法案》。这是一项影响深远且覆盖全面的立法,为包含数字元素的产品的供应商和开发商制定了共同的网络安全规则和要求。
该法案涵盖硬件和软件以及任何具有“数字元素”的产品,与GDPR非常相似。《弹性法案》尽管是在欧盟设计的,但适用于所有在欧盟市场销售的产品,因此具有全球性的深远影响。
该法案要求网络安全成为具有数字元素的产品设计和开发的关键因素,违规行为除了会被处以行政罚款外,还可能导致产品在欧盟市场的销售受到限制。
人工智能法案
紧随《网络弹性法案》之后的是《欧盟人工智能法案》,该法案的重点是确保在欧盟市场上实施可信赖的人工智能系统的开发和使用条件。《人工智能法案》规定了各种可接受的风险级别,从“低“、”最低“到完全禁止某些用途,例如导致侵犯人类尊严或操纵人类行为的用途。
该法案适用于所有在欧盟投放和使用的人工智能系统和服务,因此具备全球性的影响力。被视为高风险系统的生产商需要执行各种风险管理和治理活动,并自我证明遵守该法案,违规可能会导致高达全球营业额的4%或高达数千万欧元的罚款。
加拿大
加拿大网络安全中心(CCCS)协助出版了《改变网络安全风险平衡:设计和默认安全的原则和方法》。
它还将软件供应链攻击确定为CCCS2023-2024国家网络威胁评估中的一个关键问题。CCCS还在2023年发布了《保护您的组织免受软件供应链威胁》,为使用SSC的公司提供指导。
澳大利亚
2023年3月,澳大利亚网络安全中心(ACSC)发布了《软件开发指南》,重点关注跨软件开发生命周期和环境的各种安全控制。它还强调需要进行应用程序安全控制和测试来修复漏洞,并引用了SBOM的用例。澳大利亚还参加了“四方网络安全伙伴关系:安全软件联合原则”的国际项目。
国际协作项目
虽然各国都忙于推动自己的软件安全议程,但全球范围内的协作并没有停止脚步。例如,一项被称为“四方网络安全伙伴关系:安全软件联合原则”,于2023年5月发布,由美国、印度、日本和澳大利亚合作制定。
“安全软件联合原则“的重点是将安全软件开发实践纳入政府政策和供应商的软件采购中。它与NISTSSDF中的四个阶段相一致,并讨论了要求软件生产商进行自我证明甚至在必要时进行第三方认证的提议。