1、1 引言2 0 2 1年5月,美 国 总 统 拜 登 发 布 了第1 4 0 2 8号 行 政 令 增 强 国 家 网 络 安全 (以 下 简 称 行 政 令)1。该 行 政 令的 第4节 是“增 强 软 件 供 应 链 安 全”。这 可 称 为 其 近 年 来 关 于 软 件 供 应 链 安全 的 一 整 套 战 略 部 署,代 表 着 美 国 政府 对 供 应 链 安 全 的 最 新 思 考。本 文 主要 对 其 行 政 令 中 部 署 的 相 关 工 作 进 行【摘 要】面对供应链安全威胁持续上升的形势,美国通过总统行政令对软件供应链安全做了整体部署。2022 年,各项工作均先后推进到了
2、重要节点,取得了一系列标志性成果。本文对相关工作进展和具体成果进行了跟踪研究,并借鉴美国经验对我国供应链安全工作提出了建议。【关键词】网络安全 供应链 软件安全【中图分类号】TP393.08;D771.2 【文献标识码】A跟 踪 研 究,并 提 出 我 国 的 应 对 策 略。2 第14028号行政令对软件供应链安全主要要求行 政 令 第4节“增 强 软 件 供 应 链 安全”提 出,联 邦 政 府 使 用 的 软 件 安 全对 其 履 行 关 键 职 能 至 关 重 要。为 此,要 在 政 府 软 件 的 开 发 和 部 署 过 程 中,实 行 更 严 格 和 可 预 测 的 机 制,以 确
3、 保美软件供应链安全工作进展及对我启示 左晓栋 /中国科学技术大学公共事务学院 网络空间安全学院32|保密科学技术|2022 年 12 月特别策划软 件 产 品 功 能 安 全 和 有 序 运 行。行 政令 提 出 了“关 键 软 件”安 全 性 和 完 整性 的 概 念。故 其 在 第4节 定 义 了2 3项 供应 链 安 全 行 动,其 中 第4(e)节 要 求商 务 部 发 布 增 强 软 件 供 应 链 安 全 性 的指 南。该 指 南 包 括 以 下 方 面 的 标 准、程 序 或 要 求。(1)安 全 软 件 开 发 环 境,包 括 使用 管 理 上 独 立 的 软 件 构 建 环
4、 境;对 信任 关 系 进 行 审 计;在 整 个 企 业 建 立 多因 子、基 于 风 险 的 鉴 别 和 有 条 件 的 访问 控 制;对 数 据 进 行 加 密;对 运 行 情况 进 行 监 测 和 告 警,并 对 网 络 安 全 事件 做 出 响 应。(2)编 制 并 提 供 相 关 资 料,证 明其 符 合 安 全 软 件 开 发 环 境 流 程;使 用自 动 化 工 具 或 类 似 流 程,维 护 受 信 任 源代 码 供 应 链,从 而 确 保 代 码 的 完 整 性。(3)使用自动化工具或类似流程,定 期 或 在 更 新 前 检 查 漏 洞 并 进 行 修 补。(4)通 过 直
5、 接 或 在 公 共 网 站上 发 布 的 方 式,为 购 买 者 购 买 的 每一 种 产 品 提 供 一 份 软 件 物 料 清 单(SBOM)。(5)证 明 其 符 合 安 全 软 件 开 发 实践 的 要 求。(6)确 保 并 在 切 实 可 行 的 范 围内,证 明 产 品 任 何 部 分 使 用 的 开 源 软件 的 完 整 性 和 来 源。3 美国的具体进展美 国2 3项 供 应 链 安 全 行 动 相 关 工 作进 展 如 表1所 示。表1 美国2 3 项供应链安全行动相关工作进展EO.4028相关工作和交付成果第4b节:在行政令发布30天内,商务部部长(通过美国标准技术研究院
6、(NIST)院长)应向联邦政府、私营部门、学术机构和其他参与机构征求意见,确定现有或新开发标准、工具和最佳实践,以符合第4(e)节所述标准、程序或要求。指南材料应包括以下方面的要求:软件安全性评估,开发商和供应商自身安全的评估,以及在证明安全实践符合性时如何确定相应的工具或方法主管机构:NIST工作和交付成果:2021年6月23日,NIST召开了网络研讨会,超过1400人通过提出建议或线上等方式参会。会议共收到了150多份建议书影响:广泛征求了联邦政府、私营部门、学术机构和其他机构的意见,内容涉及评估软件安全性的标准、工具和最佳实践,评估开发商和供应商自身安全的要求,以及在证明安全实践符合性时
7、如何确定相应的工具或方法。研讨会和收集到的建议书明确了第4(g)节所述“关键软件”的定义,并发布了第4(c)节所述系统和组织网络安全供应链风险管理实践(SP 800-161)第4c节:在行政令发布180天内,NIST院长应根据第4(b)节所述协商机制和现有可行的文件草案,发布基础指南,以提高软件供应链安全性和满足第4节所述要求主管机构:NIST工作和交付成果:2021年10月28日,NIST发布了SP800-161 R1第二次公开征求意见草案。各方对草案进行了反馈,并最终形成了正式版SP800-1612影响:SP800-161的修订版基于第4(b)节的协商机制,为政府和行业提供了基础指南,并利
8、用现有文件来增强软件供应链安全。由此使联邦机构有了明确的指导意见来改善其供应链安全,包括软件安全2022 年 12 月|保密科学技术|33特别策划第4d节:在行政令发布之日起360天内,NIST院长应发布附加指南,确定定期审查和更新第4(c)节所述指南的程序主管机构:NIST工作和交付成果:小修订程序修订第4(c)节所述指南,不改变现有技术信息或建议,也不引入新的技术信息或建议,且每年最多进行2次。小修订旨在消除理解歧义,提高各种注释的质量、可读性或优化表现形式(如格式、语法、拼写等)。利益攸关方可随时提出小修订的建议,但在进行小版本发布时不会考虑这些小修订的建议重大修订程序根据拟解决问题的重
9、要性确定是否对第4(c)节所述指南进行重大修订,或者每12个月考虑进行1次重大修订,主要是增加重要的新技术信息或建议。NIST欢迎利益攸关方任何时候提出重大修订的建议,并每12个月或根据拟解决问题的重要性,尽快正式对重大修订建议公开征求意见影响:在快速和频繁变化的动态环境中,审查和更新程序文件将有助于保持软件供应链管理指南实施的有效性第4e节:第4(c)节所述基础指南发布90天内,商务部长应通过NIST院长,并与NIST院长认为适当的机构负责人进行协商后,发布确定增强软件供应链安全性的指南。该指南可融合第4(c)节和第4(i)节所述指南的内容主管机构:NIST工作和交付成果:NIST于2022
10、年5月发布了软件供应链安全指南3,并于2022年2月4日发布了NIST SP800-218安全软件开发框架(SSDF)V1.1版4。在开发新版本过程中,NIST征求了公众对文件草案的反馈,办了虚拟研讨会,咨询了其他联邦机构,并梳理总结了现有联邦指南。该指南包含了第4(c)节和第4(i)节的内容,并将定期更新影响:NIST的可交付成果确定了清晰的实践,可以提高软件供应链的安全性,改善联邦机构的网络安全第4f节:在行政令发布60天内,商务部部长应与通信和信息助理部长、国家电信和信息管理局局长进行沟通协调,发布SBOM最少要素主管机构:NTIA工作和交付成果:2021年7月12日,商务部和国家通信与
11、信息管理局(NTIA)发布了关于SBOM最少要素的报告,并于2021年10月21日发布构建软件组件透明度:建立通用软件物料清单(SBOM)5影响:商业软件和开源软件的政府用户能够通过SBOM了解其使用软件的来源,避免使用来源可疑的软件,并要求修补有缺陷的软件第4g节:在行政令发布45天内,商务部部长(通过NIST院长)应与国防部长(通过国家安全局(NSA)局长)、国土安全部部长(通过网络安全与基础设施安全局(CISA)局长)、管理和预算办公室(OMB)主任和国家情报总监进行沟通协调,发布“关键软件”的定义,以便纳入第4(e)节所述指南中。该定义应反映出软件产品功能运行所需特权或访问级别、与其他
12、软件集成和依赖关系、对网络和计算资源的直接访问需求、所信任关键功能的性能,以及如果受到损害后可能带来的危害主管机构:NIST工作和交付成果:为使关键软件定义符合最终应用的要求,NIST向社区进行了征求意见,举办了一次虚拟研讨会,并咨询了CISA、OMB、国家情报总监办公室(DNI)和NSA等部门,而后编制了关键软件定义、分阶段实施的概念,以及常见类别软件的基本清单影响:“关键软件”定义确保了行政令实施过程中软件供应链安全应用的一致性,并确定了安全标准的优先级。这使得对政府和关键基础设施运行影响最大的软件能获得最高优先级34|保密科学技术|2022 年 12 月特别策划第4h节:第4(g)节所述
13、定义发布30天内,国土安全部(DHS)部长(通过CISA局长)应与商务部长(通过NIST院长)进行沟通协调,识别和公布在用或采购中软件和软件产品类别清单,以满足第4(g)节关键软件的定义主管机构:DHS/CISA工作和交付成果:CISA指出,行政令要求“利用我们的专业知识帮助NIST,不仅定义关键软件的标准和为联邦政府所使用软件的安全措施制定指南,而且还要组织国家层面的沟通协调,讨论联邦政府所使用软件的安全防护”(见第4(g)节)影响:针对在用或在采购过程中的软件产品,CISA通过识别和提供满足第4(g)节所述关键软件定义要求的目录清单,使得对政府和关键基础设施运行影响最大的软件获得最高优先级
14、第4i节:在行政令发布60天内,商务部部长(通过NIST院长)应与国土安全部部长(通过CISA局长)和OMB主任沟通协调后,发布实施指南,概述第4(g)节所述关键软件的安全措施,包括最小权限、网络分割和正确配置的应用实践等主要机构:NIST工作和交付成果:2021年7月9日,NIST在与CISA和OMB进行沟通协调后,发布了实施指南,描述了关键软件使用的安全措施影响:安全措施规定了开发、配置和测试实践,可以切实有效地减少关键软件面临国家攻击和网络犯罪攻击时的脆弱性第4j节:在第4(i)节所述指南发布30天内,OMB主任(通过OMB电子政府办公室主任)应采取适当措施要求各机构符合指南的要求主管机
15、构:OMB工作和交付成果:2021年8月10日,OMB向行政部门和机构负责人发布了一份备忘录,题为“通过增强安全措施保护关键软件”(M-21-30)6影响:针对定义范围内软件安全保护的基本控制措施,OMB备忘录(M-21-30)提供了实施指南,并指导行政部门和机构分阶段进行实施,以提高其网络安全保障第4k节:在第4(e)节所述指南发布30天内,OMB主任(通过OMB电子政府办公室主任)应采取适当措施,要求各机构在本行政令发布后采购的软件符合指南要求主管机构:OMB工作力和交付成果:2022年3月7日,OMB发布了一份关于“增强联邦采购软件安全”的声明。OMB一直在与私营部门共同努力,探讨在各机
16、构进行自我认证之前,如何更好地执行指南要求。2022年3月23日,NIST代OMB举办了一次研讨会,发布了OMB对第4(k)节的实施情况影响:在2021年5月12日以后,联邦机构采购的软件需符合指南要求,这将有望提高软件的安全性2022 年 12 月|保密科学技术|35特别策划第4l节:各机构可申请延期符合第4(k)节所述任何要求。OMB主任将视具体情况考虑这些申请,且申请机构需提供一份如何满足要求的计划。OMB主任应每季度向总统国家安全事务助理提交一份报告,确定并解释所有批准的延期申请主管机构:OMB工作和交付成果:目前为止,OMB尚未接收任何延期申请影响:针对国家攻击或网络犯罪攻击,如延期符合第4(k)节所述任何条款的申请,那么在采取了减少关键系统脆弱性的安全措施后,还要为关键系统运行提供连续性保障第4m节:各机构可申请豁免符合第4(k)节所述任何要求。OMB主任应与总统国家安全事务助理协商后,视具体情况考虑这些申请,并且仅对特殊情况、有限期限内,且提供了减轻潜在风险计划的申请进行批准主管机构:OMB工作和交付成果:目前为止,OMB尚未接收任何豁免申请影响:针对国家攻击或网络犯罪攻
