前言
近期美国和欧盟都公布了新的供应链平安相干要求法案,要求厂商评估供应链数字化产品的安全性,此举旨在爱护供应链平安,避免 SolarWinds 等安全事件的再次发生。
美国和欧盟在各自的法案都提到了软件平安检测,软件物料清单 (SBOM) 等内容,这意味着通过强制性的网络安全法规要求,企业必须通过披露 SBOM、源代码平安检测等伎俩晋升数字化产品安全性,能力持续失常地销售提供数字化产品。
美国白宫在 9 月 14 日公布了题为《通过平安的软件开发实际加强软件供应链的安全性》的备忘录。该备忘录要求供应商产品需提供平安自我证实。自我证实是指开发人员必须提供以证实其合乎平安软件开发框架的文档。
欧盟在 9 月 15 日公布了题为《网络弹性法案》(Cyber Resilience Act)的草案,旨在为联网设施制订通用网络安全规范。法案要求所有进口欧洲的数字化产品都必须提供平安保障、软件物料清单 SBOM、破绽报告机制,以及提供安全补丁和更新。违反规定的公司将面临最高1500 万欧元或寰球营收 2.5% 的罚款。
为什么欧盟和美国要保障供应链平安
因为开源技术利用、国际形势简单、软件供应链的多样化,供应链各个环节的攻打急剧回升,未然成为网络次要的平安成胁。
寰球新一轮的产业数字化降级对开源软件的依赖日益晋升,从而催生开源生态的蓬勃发展,而开源软件的全球化和凋谢共享的个性使得任何一个十分底层和根底的开源组件的破绽都有可能像一个新冠病毒一样疾速流传,对寰球的数字化产业带来无法估量的影响。而这种影响的持续时间可能是 3~5 年,甚至更长。
例如 Log4j2 作为 java 代码我的项目中宽泛应用的开源日志组件,它的一个重大安全漏洞曾给寰球的软件供应链生态造成重大的影响,任何企业的代码我的项目沾上它都有可能给企业带来致命的平安危险。
SolarWinds Orion 软件更新包在 2020 年底被黑客植入后门,此次攻打事件波及范畴极大,包含美国政府部门、要害基础设施以及多家寰球 500 强企业,影响难以估计。
法规重点内容
美国法规
美国 《通过平安的软件开发实际加强软件供应链的安全性》 备忘录次要针对联邦政府的供应商,要求供应商对产品进行平安自证,如果为联邦政府重点关注的产品,则须要第三方评估。备忘录中的重点内容如下:
- 供应商的自我认证能够被由通过认证的 FedRAMP 第三方评估组织 (3PAO) 提供的第三方评估,或由机构批准的第三方评估取代,当供应商的产品蕴含开源软件时,3PAO 应用 NIST 指南作为评估基线。
- 备忘录所指的“软件”一词包含 固件、操作系统、应用程序和应用程序服务(例如,基于云的软件),以及蕴含软件的任何产品。
- 如果为联邦政府重点关注的产品,软件开发者需提供详尽的SBOM。
- 联邦政府可能会须要 SBOM 以外的平安证实 (例如 源代码扫描报告,破绽扫描报告 等)。
欧盟法规
欧洲议会和理事会当初将审查《网络弹性法案》草案。该法规预计将在 2024 年失效。新规范颁布后,经济运营商和成员国将有两年工夫适应新规范,违反规定的公司将面临将面临最高1500 万欧元或寰球营收 2.5% 的罚款。
欧盟 《网络弹性法案》次要针对进口到欧盟的数字化产品,带有软件的产品制造商应做到以下几点要求:
- 提供至多需包含产品的顶层依赖关系的软件资料清单SBOM;
- 通过提供 安全更新 等形式立刻解决数字化产品中发现的破绽;
- 对数字化产品的安全性进行无效和定期的 测试和审查;
- 在提供安全更新后,公开披露 无关已修复破绽的信息,包含破绽的阐明、容许用户辨认受影响的数字元件的信息、破绽的影响、其严重性以及帮忙用户补救破绽的信息;
- 制订并施行 破绽协调披露 政策;
- 提供 联系地址,以便报告在数字化产品中发现的破绽;
- 规定散发数字化产品安全更新的机制,以确保可利用的破绽及时失去修复或缓解;
- 确保在提供安全补丁或更新以解决已查明的平安问题的状况下,立刻收费散发 这些补丁或更新,同时向用户提供无关信息,包含可能采取的口头的倡议信息。
法规特点
关注供应商治理
欧盟和美国的法规文件认为,一种产品的网络安全破绽可能会影响整个供应链,这可能会扰乱整个欧盟外部市场或联邦政府的经济和社会活动。因而都对产品供应商提出了较为明确的要求,包含提供 SBOM、破绽剖析报告、第三方评估报告等内容。
强化最佳实际
法规提出如确保产品“以平安默认配置交付的任务,包含将产品重置为其原始状态的可能性”或“设计、开发和生产以限度可能的攻击面”、提供 SBOM 清单、进行源代码扫描、定期测试等这些要求反映出对信息安全最佳实际的强化,冀望通过明确的要求,使得供应商都能听从最佳实际。
要害产品将受到更多束缚
属于“要害”类别的产品(例如身份管理系统、明码管理器、恶意软件扫描零碎、微处理器、操作系统、路由器、智能电表等)将受到更严格规定的束缚。
趋势
威逼事件次数出现上涨趋势
近年来供应链安全事件频发,据 Sonatype 公司的考察,供应链攻击行为比去年减少了 430%。欧盟预计寰球每年的网络立功老本达到了 5.5 万亿欧元,不仅影响企业平安,对国民经济、政治都造成了极大的威逼。为了避免诸如 SolarWinds 事件的再次发生,许多地区法规都在晋升对供应链平安的管控要求。
供应商治理将受到关注
为了缩小供应链安全事件,更多国家和地区可能建设相似欧盟和美国的供应商准入机制,供应商会被要求「自证清白」、恪守最佳实际。供应商治理可能成为接下来大家所关注的热点。
企业需加大平安投入
在合规要求不断加强的局势下,面向国内市场的硬件制造商、软件开发商、分销商和出口商都将须要进步合规力度,用于外部平安流程机制的建设、平安技术能力的晋升,须要将供应链的平安保障落到实处,否则难以满足破绽危险排查、默认配置平安、最小化事件影响等基线要求。
对于企业须要关注的点
随着海内市场在软件供应链平安上的监管力度增大,具备海内业务的企业须要优先关注合规危险,同时国内相干法规的出台也只是工夫问题。企业能够采取如下措施来升高合规危险,晋升产品竞争力:
- 做好产品 SBOM 治理,排查平安危险;
- 将供应链平安的治理能力嵌入组件引入、代码合入、测试、CI/CD 等产品研发流程;
- 建设供应商准入机制,将 SBOM 透明度、平安危险辨认和处理能力作为考量;
- 针对产品建设破绽监测、披露和修复机制,晋升处理响应能力;
- 产品提供在线安全更新能力,升高修复老本。
参考链接
https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act