10月31日,美国国家安全局(NSA)、网络安全与基础设施安全局(CISA)和国家情报总监办公室(ODNI)联合发布保护软件供应链实用指南。该指南共40页,主要提及软件供应商在供应链中需要承担的责任和改进方法。指南中提到的供应商的主要职责包括:首先,努力识别可能危及组织、软件开发、软件本身和软件交付(即on-premise或SaaS)环境的威胁,并实施相关缓解措施;第二,作为客户和软件开发团队之间的联络人,需要确保软件在安全的环境中开发,并通过安全的渠道交付;软件的附加安全功能。对于软件供应链的安全实践,NSA、CISA和ODNI都有一系列的计划,并在由美国国家安全局牵头的政企工作组制定的“长期安全框架”(EnduringSecurityFramework,ESF)中实施。NSA和CISA中间。该框架将为美国的主要网络基础设施制定安全指南。软件供应链分为三部分:第一是今年9月发布的《Securing the Software Supply Chain for Developers》,针对软件开发商,10月31日发布的指南适用于软件供应商,下一步是为客户发布一个版本和软件供应链的用户。指南对软件供应商的供应链安全提出了很多建议,主要归纳如下:一是督促软件供应商在软件收发过程中确保供应链安全。供应商有义务确认发货的软件与客户收到的软件相同;有必要创建一个安全的散列值来验证文件是否正确传递;需要保证软件传输的通信通道是安全的。软件需要通过使用国际公认的标准(例如NISTSSDF)来完成,这有助于确保在软件发布之前满足软件功能和安全要求。其次,指南认为供应商应该提供一种机制,通过在整个软件生命周期中对代码进行数字签名来验证软件发布的完整性。数字签名代码,使代码的接收者和客户能够主动验证和信任代码的来源和完整性。第三,准则要求供应商确保本地开发的软件和第三方供应商提供的任何组件满足安全要求。由于第三方提供的软件和模块通常包含在供应商发布的软件产品中,为此,供应商可以召集专家评估第三方提供的软件是否满足适用的安全要求,签订合同与第三方软件供应商达成协议,解决潜在的第三方软件问题。第四,指南承认供应商应尽一切努力确保提供给客户的任何软件中不存在公开或易于识别的漏洞。在将软件交付给客户之前,需要测试、理解和消除软件中的漏洞,以防止交付容易损坏的代码。需要建立一个由架构师、开发人员、测试人员、密码学家和人为因素工程师组成的漏洞评估团队,负责识别软件中可利用的弱点。与第三方软件和软件相关的开源组件相关的软件物料清单(SBOM)需要实时检查。在相关问题发布后,建立并遵循企业指南升级嵌入式组件。该指南可在以下网址下载:https://media.defense.gov/2022/Oct/31/2003105368/-1/-1/0/SECURING_THE_SOFTWARE_SUPPLY_CHAIN_SUPPLIERS.PDF
