这些举措是米国拜*登总*统去年 5 月发布的广泛行政命令 (EO)授权的。他们的目标是收紧联邦政府对其购买的软件产品的安全要求,希望这些好处也能流向私营部门。标签计划旨在让消费者更深入地了解他们购买的软件和设备的安全性,并提高消费者软件和物联网设备制造商的透明度。
软件供应链安全指南和更新的 SSDF
第一份文件阐明了如何按照 EO 的指示加强软件供应链的安全性。该指南遵循 NIST 为满足 EO 的最后期限而开展的一系列活动,包括从社区征求立场文件、在 6 月举办虚拟研讨会和在 11 月举办第二次虚拟研讨会、与其他联邦机构协商并审查现有的联邦指南。
该命令要求 NIST 为负有软件采购相关职责的联邦机构工作人员提供指导,旨在帮助联邦机构工作人员了解软件生产商需要哪些信息来了解他们的安全软件开发实践。新的 NIST 文件阐明了联邦机构在获取软件或包含软件的产品时应遵循的最低建议。
该命令还指示 NIST 为软件生产商定义行动或结果,例如商业现货 (COTS) 产品供应商、政府现货软件开发商、承包商和其他定制软件开发商。为了完成这项任务,NIST更新了其预先存在的安全软件开发框架 (SSDF),该框架已经考虑了 EO 中包含的大部分相关任务。
NIST 指出,其指导仅限于联邦机构采购软件,其中包括固件、操作系统、应用程序和应用程序服务(例如基于云的软件),以及包含软件的产品。联邦机构开发的软件超出范围,联邦机构免费直接获得的开源软件也是如此。由联邦机构购买的软件捆绑、集成或以其他方式使用的开源软件在范围内。
根据 EO 的时间表,到 3 月 6 日,管理和预算办公室 (OMB) 必须采取适当措施,要求各机构遵守有关在本命令发布之日后采购的软件的此类指南。到 2023 年 5 月 12 日,国土安全部部长与国防部长、司法部长、OMB 主任和 OMB 内电子政府办公室的行政长官协商后,将向联邦采购监管局 (FAR ) 委员会协调政府范围内的采购,合同语言要求可供机构购买的软件供应商遵守并证明遵守根据这些指南发布的任何要求。
消费软件的网络安全标签
NIST 上周发布的另一份文件是《消费软件网络安全标签推荐标准》。EO 指示 NIST 与联邦贸易委员会 (FTC) 和其他机构协调,启动网络安全标签试点计划。这些标签计划旨在教育公众了解软件开发实践的安全能力。
NIST 发布的文件就计划所有者在标签计划中的作用、可以为标签提供信息的基线技术标准、标签呈现标准和合格评定标准提出了建议。本文档还探讨了软件标签的消费者教育和可用性。
本文档的目标是指导软件提供商如何向消费者传达“在软件的生命周期中采用了安全软件开发的良好实践,并且与安全相关的软件架构、功能和其他属性遵循基线技术标准。 ”
消费物联网产品的网络安全标签
EO 要求 NIST 为物联网 (IoT) 产品的消费者标签计划制定标准。根据 EO,“标准应考虑此类消费者标签计划是否可以与符合适用法律的任何类似的现有政府计划一起运行或仿效。”
NIST 利用其在物联网产品网络安全方面的现有工作以及最近关于受感染物联网产品及其漏洞的公开新闻报道,于 2021 年 8 月 31 日和 12 月 3 日发布了标准草案版本。这些文件可在 9 月 14 日的研讨会上供社区反馈和 2021 年 12 月 9 日,并以书面形式提交。
基于这项活动,NIST 决定产品标准应该表达为结果,而不是关于如何实现它们的具体陈述。此外,NIST 得出的结论是,鉴于这些基准标准适用于各种产品的方式多种多样,没有一种单一的合格评定方法是合适的。最后,NIST 确定单个二元标签(例如批准印章)表明产品符合基线标准可能是最合适的,再加上一种分层方法,可以引导感兴趣的消费者在线获取更多详细信息。
消费者网络安全标签试点:方法和反馈
最后,NIST 公布了其关于如何在软件和物联网标签上开展试点项目的想法,并考虑到它已经阐明的标准。EO 指示 NIST “根据公布的标准进行试点,并在命令发布之日起一年内对试点计划进行审查,与私营部门和相关机构协商,以评估计划的有效性,确定什么可以继续改进,并提交总结报告。”
NIST 已确定它不会设计特定标签作为试点的一部分。相反,该试点项目将由 NIST 组成,寻求利益相关者对消费物联网产品和消费软件当前或未来潜在的标签工作以及这些工作如何与 NIST 建议保持一致的贡献。
为此,NIST 正在寻求对试点项目的贡献,并寻求有关现有标签方案是否符合 NIST 建议的信息,以及目前不运营标签方案的组织是否有兴趣根据 NIST 建议建立新项目等话题。对试点的贡献必须在 2022 年 3 月 15 日之前提交。
这是“非常深”的东西
应用安全公司 Veracode 的联合创始人兼首席技术官 Chris Wysopal 称赞 NIST 在总结大量文件中的大量密集信息方面的敏捷性。“我认为他们在总结方面做得很好,但内容非常深刻,”他告诉 CSO。“人们将不得不阅读大量内容,以了解作为供应商的要求。”
他特别赞扬 NIST 对 SSDF 的更新考虑到了软件的构建者和用户。“这不仅仅是纯粹面向供应商的。这是有道理的,因为当您谈论安全性时,有人在销售技术,然后有人在操作它。该等式的两个部分都需要了解对方做了什么以及期望是什么。建设者和运营者都在同一个框架下工作很有意义。”
Wysopal 的一项批评与软件开发人员如何证明符合安全软件实践有关。“我不太喜欢的一点是,他们似乎认为很多此类证明可以在产品线级别或公司级别完成,而不是在您购买的特定产品上完成。”
“很多时候,当推出新产品或收购小供应商时,它会被重新命名并包含在该公司的产品中,这些产品几乎没有更成熟产品的严谨性。我认为我们不想把这两件事混为一谈。”
返回列表