在网络威胁不断发展的时代,确保软件供应链的安全已成为全球组织的头等大事。美国国家安全局 (NSA)、国家情报局局长办公室 (ODNI)、网络安全和基础设施安全局 (CISA) 以及行业合作伙伴认识到建立一个强有力的框架的迫切需要,并已合作开展以下工作 发布网络安全技术报告 标题为"确保软件供应链安全:软件物料清单消费的推荐做法》。“
报告要点
本报告由持久安全框架(ESF)软件供应链工作组(一个由美国国家安全局、国防情报局和 CISA 领导的公私跨部门小组)编写,是关键基础设施行业内软件开发商、供应商和客户利益相关者的综合指南。它旨在确保软件在其整个生命周期内的完整性和安全性,强调合同协议、软件发布和更新、通知和漏洞缓解。
日益严峻的威胁形势
该报告强调,利用软件供应链中的薄弱环节进行的网络攻击正在以惊人的速度增加。报告强调了国家对手利用各种手段将供应链武器化的可能性,如利用设计缺陷、加入易受攻击的第三方组件、用恶意代码渗透供应商网络以及向客户环境注入恶意软件。
软件物料清单(SBOM)的作用
报告的一个重点是软件物料清单(SBOM),它为加强补丁和漏洞管理提供了重要的软件透明度。通过对所有软件组件进行全面查看和分类,SBOMs 改变了软件供应链的安全状况。报告深入探讨了 SBOM 的消费、生命周期管理、风险评分和操作实施,旨在提高透明度并为企业提供重要的风险信息。
政府回应和行政命令
确保软件供应链安全的紧迫性已促使政府最高层做出回应。白宫发布了 第 14028 号行政令该行政令的重点是提高国家的网络安全。这项行政命令提出了确保联邦政府软件供应链安全的新要求,强调需要提高对民族国家对手潜在武器化的意识和认知。
SBOM 在 OpenSSF 的工作
OpenSSF 认为,SBOM 的用例应该在当前的 SBOM 规范中得到明确的理解、记录和实施。OpenSSF 正在开展工作,鼓励使用 SBOM。 开放的SSF记分卡 报告 SBOM 存在是检查项目之一。 OpenSSF安全工具工作小组 是 SBOM Everywhere 计划的主办方。该倡议正在对 SBOM 的命名和位置进行标准化。SBOMit 是另一项关注 SBOM 认证的倡议。SBOMit OpenSSF OpenVEX 特别兴趣小组(SIG)是一个致力于通过 OpenVEX 透明共享漏洞数据的小组,OpenVEX 是一个简化的漏洞可利用性交换规范和一套工具。我们邀请您加入 OpenSSF 社区,使开源软件更加安全。
随着网络威胁不断构成重大挑战,OpenSSF 对《确保软件供应链安全报告》表示赞赏,认为它为关键基础设施行业提供了有关 SBOM 的可靠指导。该报告强调了 SBOM 消费的推荐做法,旨在强化软件供应链,抵御不断变化的威胁,为利益相关者提供必要的工具和知识,以保障软件在整个生命周期内的完整性和安全性。在互联互通的数字环境中,政府机构和行业合作伙伴之间的这种合作对于建立复原力和维护对支撑我们关键基础设施的软件的信任至关重要。
