网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和国家情报总监办公室 (ODNI) 本周发布了关于保护软件供应链安全的三部分联合指南的第二部分。 该指南由持久安全框架 (ESF) 创建,这是一个跨部门工作组,旨在减轻威胁关键基础设施和国家安全的风险,为开发商、供应商和组织提供建议。 9 月,三个美国机构发布了该系列的第一部分,其中包括为希望提高软件供应链安全性的开发人员提供的建议。 美国国家安全局说:“供应商在确保软件的安全性和完整性方面也负有重要责任。毕竟,软件供应商负责客户和软件开发人员之间的联络。正是通过这种关系,可以通过合同协议、软件发布和更新、通知和漏洞缓解来应用额外的安全功能。” 接下来,我们一起看看第二部分的介绍和背景,全文可在文末获取下载机翻版。 1 介绍软件供应链中未缓解的漏洞会给组织带来重大风险。本系列为软件供应链的开发、生产和分发以及管理流程提供了可行的建议,以提高这些流程的抗入侵弹性。所有组织都有责任建立软件供应链安全实践以降低风险,但组织在软件供应链生命周期中的角色决定了此责任的形式和范围。 由于保护软件供应链的注意事项因组织在软件供应链中扮演的角色而异,因此本系列提供了针对这些重要角色的建议,即开发人员、供应商和客户(或获取软件产品的组织)。 本指南分为三部分系列,将与软件供应链生命周期同时发布。这是本系列的第2部分,重点介绍软件供应商。本系列的第1部分侧重于软件开发人员,本系列的第3部分将重点介绍软件客户。本系列将有助于促进这三个不同角色之间以及网络安全专业人员之间的沟通,从而有助于提高软件供应链流程的弹性和安全性。 在本系列中,风险、威胁、漏洞利用和漏洞等术语基于国家安全系统术语表(CNSSI4009)中定义的描述。1.1 背景从历史上看,软件供应链妥协主要针对未修补的常见已知漏洞组织。虽然威胁参与者仍然使用这种策略来破坏未修补的系统,但一种新的、不那么明显的入侵方法也会威胁到软件供应链,并破坏对修补系统本身的信任,而修补系统本身对于防范遗留攻击至关重要。威胁参与者不是等待公开漏洞披露,而是主动将恶意代码注入产品中,然后通过全球软件供应链合法地分发到下游。在过去几年中,开源和商业软件产品的这些下一代软件供应链妥协显著增加。技术消费者通常单独管理软件下载和更广泛、更传统的软件供应链活动。将软件的上游和下游阶段视为供应链风险管理的一个组成部分可能有助于识别问题,并在整合活动以实现系统安全方面提供更好的前进方向。但是,在软件产品的情况下,也有一些差异需要考虑。传统的软件供应链周期是从原产地到消费点,通常使客户能够退回故障产品并限制任何影响。相反,如果一个软件包被注入了恶意代码,这些代码会扩散到多个消费者;规模可能更难限制,并可能造成指数级更大的影响。针对软件供应链的常见妥协方法包括利用软件设计缺陷、将易受攻击的第三方组件合并到软件产品中、在交付最终软件产品之前用恶意代码渗透供应商的网络,以及注入恶意软件,然后由客户部署。利益攸关者必须设法减轻其责任领域特有的安全问题。然而,其他关切可能需要采取缓解办法,要求依赖另一个利益攸关者或由多个利益攸关者分担责任。未充分沟通或解决的依赖项可能会导致漏洞和潜在的泄露。1.2 文档概述第2节提供了为供应商推荐的最佳实践和标准,以帮助确保软件从生产到交付的完整性和安全性。附录A:NIST SP800-218之间的人行横道;通过采用安全软件开发框架(SSDF)4和此处描述的用例来降低软件漏洞的风险。
|