10月18日,美国网络安全和基础设施安全局(CISA)与国家安全局(NSA)和国家情报总监办公室(ODNI)合作发布了关于保护软件供应链的三部分系列文章的最后一部分。
此外,文章还指出,公司应分配特定员工来验证特定领域和组织的安全要求,并协调风险概况定义与任务和企业领域等。
最近的网络攻击,如针对SolarWinds及其客户的攻击,以及利用Log4j等漏洞的攻击,都突出了软件供应链中的弱点;这一问题既涉及商业软件,也涉及开源软件,对私营企业和政府企业都有影响。软件供应链可能会被国家对手使用类似的战术技术和程序(TTP)进行攻击,因此越来越需要软件供应链安全意识。
文章中还提到,白宫对此特地发布了关于改善国家网络安全的行政命令(EO 14028)。该命令确立了保护联邦政府软件供应链的新要求。这些要求包括对软件供应商和开发人员以及为联邦政府购买软件的客户的系统审查过程改进和安全标准。
JupiterOne首席信息安全Sounil Yu表示:“软件生产通常由行业完成,因此会有一些行业力量拒绝生产软件物料清单(SBOM)。由于行业和政府都使用软件,支持共享SBOM符合行业和政府的最大利益。但是,我们会看到政府内部的阻力较小。”
CISA还表示,还应建立所有收购的安全要求。通过分拆公司、外部实体或第三方供应商获取软件时,客户应对整个供应链风险管理 (SCRM) 计算实施持续监控,并采取适当的控制措施来减轻假设变化和安全风险。
转自 E安全,原文链接:https://mp.weixin.qq.com/s/y3n3PEfQsZtpWkYPc-wKCQ
封面来源于网络,如有侵权请联系删除