美国国安局(National Security Agency,NSA)、网络安全及基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)与美国国家情报总监办公室(Office of the Director of National Intelligence,ODNI)周一(10/31)联袂发布了针对供应商的《捍卫软件供应链:给供应商的建议实践指南》(Securing the Software Supply Chain: Recommended Practices Guide for Suppliers),于该份40页的文件中提供如何检查软件的安全性、保护程序代码、验证软件的完整性、如何开发安全的软件,以及如何识别、分析与缓解安全漏洞。
图片来源/美国国防部
对于软件供应链的安全实践,NSA、CISA与ODNI有一系列的规划,相关规划奠基在由NSA及CISA所主导的产官学工作小组所开发的“长期安全框架”(Enduring Security Framework,ESF),该框架为美国重大基础设施的安全指南,针对软件供应链总计有3部分,首先是今年9月发布、锁定开发者的《Securing the Software Supply Chain for Developers》,本周发布的指南适用于供应商,下一步则会发布给供应链客户用户的版本。
图片来源/美国国防部
为了指导软件供应链的供应商,ESF研究了造成SolarWinds攻击的安全事件,确认了产业与政府创建软件供应链最佳实例的必要性,因为黑客只要通过软件供应链中的单一漏洞,就会对运算环境或基础设施带来严重的影响。NSA表示,虽然预防这类的安全风险通常被视为是开发者的责任,但供应商在确保软件安全与完整性上也必须承担重责。
供应商负责开发者与客户之间的联系,该角色可在合约协议、软件发布与更新、通知及漏洞缓解上,提供额外的安全保障。
因此,在该文件中,定义了软件安全检查的标准,针对如何确保软件部署程序的安全提出了建议,建议供应商如何预防程序代码遭到未经授权的访问与篡改,建议采用数字签名来验证软件版本的完整性,如何保护每一个不同的软件版本,开发安全的软件,检查第三方软件是否符合安全要求,确保构建程序的安全,检查与分析程序代码,测试可执行的程序代码,于默认值激活安全设置,以及持续地识别、分析及缓解安全漏洞。
除了NSA、CISA与ODNI之外,美国国家标准暨技术研究院(NIST)也曾在今年5月发布长达326页的《网络安全供应链风险管理》(Cybersecurity Supply Chain Risk Management,C-SCRM)指南,以协助那些采购与使用其它技术产品及服务的组织来保护其自身的安全,但后者主要锁定供应链的采购者及用户,前者则是针对供应链的开发者、供应商与客户发布安全指南。