科林蒂埃里
白宫周三发布了针对软件供应商的网络安全指南,作为总统乔·拜登于 2021 年签署的行政命令的延伸。
拜登于 2021 年 XNUMX 月签署了《改善国家网络安全》,其中概述了美国网络安全方法现代化和实施多因素身份验证等技术的计划。 其中一部分 行政命令 参考计划为在政府网络中购买和部署的软件提供指南,该指南包含在周三的 备忘录.
在白宫 声明 联邦首席信息安全官和国家网络副总监克里斯·德鲁沙(Chris DeRusha)也在周三发文称,虽然过去衡量软件质量的唯一标准是它是否像宣传的那样工作,但今天的技术必须以使其具有弹性和安全性的方式开发.
“该指南是在公共和私营部门以及学术界的意见下制定的,指导机构仅使用符合安全软件开发标准的软件,为软件生产商和机构创建自我证明表格,并将允许联邦政府在发现新漏洞时快速识别安全漏洞,”他说。
拜登的网络安全指南还要求联邦政府机构从软件供应商处获得一份自我证明表格,确认该产品符合美国政府的安全指南。 美国国家标准技术研究院(NIST) 在使用任何新软件之前。
根据机构的不同,软件供应商可能还必须通过包括软件材料清单 (SBOM) 在内的工件来证明合规性。 此外,可能会要求供应商提供其参与漏洞披露计划的证据。
尽管行政命令和指导方针在法律上并未要求私人供应商发布安全且合规的软件,但 DeRusha 表示,在 2020 年 SolarWinds 供应链攻击之后,这一行动是必要的。这次网络攻击导致多个政府机构成为数据泄露的受害者。
“这起事件是过去两年发生的一系列网络入侵和重大软件漏洞之一,威胁到政府向公众提供服务,以及由政府管理的大量个人信息和商业数据的完整性。私营部门,”德鲁沙在声明中补充道。
