全球软件供应链安全指南和法规

这篇具有很好参考价值的文章主要介绍了全球软件供应链安全指南和法规。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

全球软件供应链安全指南和法规,网络研究院,安全,实践,政府,软件,开发

供应链安全继续在网络安全领域受到重点关注,这是有充分理由的:SolarWinds、Log4j、Microsoft 和 Okta 软件供应链攻击等事件继续影响领先的专有软件供应商以及广泛使用的开源软件软件组件。

这种担忧是全球性的。随着各国政府寻求降低软件供应链攻击的风险,世界各地的法规和要求正在不断发展,安全设计、安全软件开发、软件责任和自我证明以及第三方认证等主题正在主导对话。

随着形势的发展,软件供应商将越来越需要熟悉需求。由于攻击者希望利用广泛使用的软件供应商,这些要求旨在帮助减轻软件供应链攻击给世界各国政府和国家带来的风险。

从制定国内安全软件要求的国家到旨在削弱代表国际关注的危险的全球努力,以下是一些旨在保护软件供应链的最著名的举措和计划。

美国——网络行政命令

美国软件供应链安全指南和要求的大部分可以追溯到第 14028 号行政命令(EO)“关于改善国家网络安全的行政命令”。虽然行政命令本身并没有制定许多相关要求,但它为大多数要求制定了指导方针。第 4 节特别关注“增强软件供应链安全”,并对美国国家标准与技术研究所 (NIST)、管理和预算办公室 (OMB)、网络安全和基础设施安全局 (CISA) 等提出了要求。

OMB 22-18 和 23-16

根据网络行政命令,管理和预算办公室 (OMB) 发布了两份备忘录22-18和23-16,每份备忘录都重点关注软件供应链安全,并开始推动要求,例如对所有向美国联邦销售的软件供应商提出要求。政府开始自我证明遵循安全软件开发实践,例如 NIST 的安全软件开发框架 (SSDF)。它还要求在某些情况下使用SBOM,甚至在机构保证风险足够大的情况下使用第三方评估组织。

FDA 确保医疗设备的网络安全/第 524B 节

在美国受到特别关注的一个值得注意的领域是医疗设备。最新的努力来自于美国食品和药物管理局 (FDA) 在《联邦食品、药品和化妆品法案 (FD&C)》第524B条中提出的新要求。它涉及医疗设备的上市前提交,要求记录医疗设备系统的安全风险管理活动,并指出除了漏洞评估和威胁建模等活动之外还需要 SBOM。

它还特别指出了纳入医疗设备的开源软件组件的作用以及应从风险管理角度考虑的潜在风险。

SSDF

虽然本身不​​是监管或合同要求,但如果不触及 NIST安全软件开发框架 (SSDF),美国对软件供应链安全的讨论就不完整。

Cyber​​ EO 要求中产生的另一个项目是 NIST 生产更新的 SSDF 和 OMB,NIST 现在已将其列为向美国联邦政府销售的软件供应商自我认证要求的一个关键方面。

SSDF 利用多个现有的安全软件开发框架,例如OWASP 的安全应用程序成熟度模型(SAMM) 和 Synopsys 构建安全成熟度模型 (BSIMM),来交叉引用生产安全软件时应遵守的实践。

国家网络战略——软件责任

2023 年发布的最新美国国家网络战略 (NCS)重点关注软件供应链安全,包括呼吁需要“重新平衡保卫网络空间的责任”。

将焦点从客户和消费者转移到软件供应商不仅是该战略的关键主题,也是 CISA 等机构和领导者“设计安全”计划的关键主题。NCS 的第三支柱侧重于塑造市场力量以推动安全性和弹性,并呼吁开展诸如追究数据管理者责任和推动安全设备开发等活动,甚至引入了备受争议的“软件责任”主题。

2023 年开源软件安全法案

与社会其他部门一样,美国联邦政府越来越依赖开源软件。2022 年的《保护开源软件法案》公开承认了这一点。该法案认识到 OSS 的重要性,并呼吁 CISA 等机构直接参与 OSS 社区。它规定了 CISA 主任在外展和参与方面的职责,并帮助促进提高 OSS 生态系统的安全性。

欧洲联盟——网络弹性法案

在欧盟方面,一项成为全球头条新闻的立法是《欧盟网络弹性法案》。这是一项影响深远且全面的立法,为包含数字元素的产品的供应商和开发商制定了共同的网络安全规则和要求。

该法案涵盖硬件和软件以及任何具有“数字元素”的产品。与 GDPR 非常相似,尽管是在欧盟设计的,但由于适用于整个欧盟市场的产品,因此具有深远的影响,这些产品实际上可能不是最初在欧盟制造的,而是在欧盟市场销售的。

该法案要求网络安全成为具有数字元素的产品设计和开发的关键因素,不合规除了行政罚款外,还可能导致产品在欧盟市场的供应受到限制。

人工智能法案

紧随《网络弹性法案》之后的是《欧盟人工智能法案》,该法案的重点是确保在欧盟市场上实施可信赖的人工智能系统的开发和使用条件。《人工智能法案》规定了各种可接受的风险级别,从低到最低到完全禁止某些用途,例如导致侵犯人类尊严或操纵人类行为的用途。

该法案适用于投放市场或在欧盟使用的服务的人工智能系统,再次证明了其广泛的影响力。被视为高风险的系统的生产商需要执行各种风险管理和治理活动,并自我证明其遵守该法案,不遵守该法案可能会导致高达全球营业额的 4% 或数千万欧元的损失。

加拿大

保护组织免受软件供应链威胁也是加拿大的首要任务。加拿大网络安全中心 (CCCS) 协助出版了《转变网络安全风险平衡:设计和默认安全的原则和方法》。

它还将软件供应链攻击确定为 CCCS 2023-2024国家网络威胁评估中的一个关键问题。CCCS 还在 2023 年发布了《保护您的组织免受软件供应链威胁》,为使用 SSC 的公司提供指导。

澳大利亚

2023年3月,澳大利亚网络安全中心(ACSC)发布了《软件开发指南》,重点关注跨软件开发生命周期和环境的各种安全控制。它还强调需要进行应用程序安全控制和测试来解决漏洞,并引用了 SBOM 的用例。澳大利亚还参加了国际“四方网络安全伙伴关系:安全软件联合原则”。

全球

虽然每个国家都在推动自己的国内软件安全议程,但全球范围内也正在努力。其中一项被称为“四方网络安全伙伴关系:安全软件联合原则”,于 2023 年 5 月发布,由美国、印度、日本和澳大利亚合作制定。

它的重点是将安全软件开发实践纳入政府政策和供应商的软件采购中。它与 NIST SSDF 中的四个阶段相一致,并讨论了要求软件生产商进行自我证明甚至在必要时进行第三方认证的意图。文章来源地址https://www.toymoban.com/news/detail-785769.html

到了这里,关于全球软件供应链安全指南和法规的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 信息安全-应用安全-蚂蚁集团软件供应链安全实践

    8月10日,由悬镜安全主办、以“开源的力量”为主题的DSS 2023数字供应链安全大会在北京·国家会议中心隆重召开。蚂蚁集团网络安全副总经理程岩出席并发表了《蚂蚁集团软件供应链安全实践》主题演讲。 图1 蚂蚁集团网络安全副总经理程岩发表主题演讲 以下为演讲实录:

    2024年02月10日
    浏览(48)
  • 软件供应链安全:寻找最薄弱的环节

    在当今的数字时代,软件占据主导地位,成为全球组织业务和创新的支柱。它是差异化、项目效率、成本降低和竞争力背后的驱动力。软件决定了企业如何运营、管理与客户、员工和合作伙伴的关系,以及充分利用他们的数据。 挑战在于,当今的大多数软件都不是从头开始开

    2024年04月17日
    浏览(50)
  • 文献阅读笔记 # 开源软件供应链安全研究综述

    纪守领,王琴应,陈安莹,赵彬彬,叶童,张旭鸿,吴敬征,李昀,尹建伟,武延军.开源软件供应链安全研究综述.软件学报. http://www.jos.org.cn/1000-9825/6717.htm 主要作者来自浙江大学、中科院软件所、华为 资源: pdf 本文总结了开源软件供应链的关键环节, 基于近10年的攻击事件总结了开源软

    2024年02月12日
    浏览(46)
  • 一文读懂什么是软件供应链安全

    今天的大部分软件并不是完全从头进行开发设计的。相反,现在的开发人员频繁的依赖一系列第三方组件来创建他们的应用程序。通过使用预构建的库,开发人员不需要重新发明轮子。他们可以使用已经存在的工具,花更多的时间在专有代码上。这些工具有助于区分他们的软

    2024年02月05日
    浏览(50)
  • 企业应如何做好软件供应链安全管理?

    随着软件供应链攻击日益普遍,Gartner 将其列为2022 年的第二大威胁。Gartner 预测,到 2025 年,全球 45% 的组织将遭受一次或多次软件供应链攻击,是2021年的3倍。这些攻击一旦成功,将给企业带来毁灭性打击,因此如何做好软件供应链管理成为企业关注的重要课题。 目前国内

    2024年02月16日
    浏览(49)
  • SOFAStack软件供应链安全产品解析——SCA软件成分分析

    近年来,软件供应链安全相关攻击事件呈快速增长态势,造成的危害也越来越严重,为了保障软件供应链安全,各行业主管单位也出台了诸多政策及技术标准。基于内部多年的实践,蚂蚁数科金融级云原生PaaS平台SOFAStack发布完整的软件供应链安全产品及解决方案,包括静态代

    2024年02月04日
    浏览(46)
  • 龙腾荆楚 | 软件供应链安全检测中心落地襄阳

    1月16日, 襄阳市东津新区“园区提质、企业满园”行动暨2024年东津云谷首月重大项目集中签约活动圆满完成 ,开源网安城市级项目再下一城,分别与襄阳市政府、高校、国投签订战略合作协议,推动荆楚地区数字政府、数字经济、数字社会、数字生态协同高质量发展。 襄阳

    2024年01月20日
    浏览(55)
  • 开源时代:极狐GitLab如何保证软件供应链安全

    开源吞噬软件 “软件吞噬世界,开源吞噬软件”已经不是一句玩笑话了。根据Synopsys发布的《2021年开源安全和风险分析报告》显示,98%的样本代码库中包含开源代码,75%的样本代码库是由开源代码组成的。上述结果是通过对1500+商业代码库进行分析得出的,开源不仅存在于大

    2024年02月03日
    浏览(46)
  • “网安三人行”盘点:软件供应链安全的那些事儿

    2022年伊始,默安科技联合数世咨询举办以“软件供应链安全的时与势”为主题的访谈活动,由数世咨询创始人李少鹏主持,邀请 贝壳安全研发负责人李文鹏、北京邮电大学副教授张文博、默安科技副总裁沈锡镛 三位行业大咖做客网安小酒馆,从产业、企业、学术的不同维度

    2023年04月25日
    浏览(48)
  • 云起无垠典型案例入选《2023软件供应链安全洞察》报告

    近日,历时6个月,由ISC编制的《2023软件供应链安全洞察》报告(以下简称《报告》)正式对外发布。《报告》围绕软件供应链安全现状、技术内核、治理指南、落地实践展开,以期为行业从业者提供有价值的信息和洞见,帮助整个行业在应对软件供应链安全挑战的道路上迈

    2024年02月07日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包