全球软件供应链安全指南和法规

供应链安全继续在网络安全领域受到重点关注，这是有充分理由的：SolarWinds、Log4j、Microsoft 和 Okta 软件供应链攻击等事件继续影响领先的专有软件供应商以及广泛使用的开源软件软件组件。

这种担忧是全球性的。随着各国政府寻求降低软件供应链攻击的风险，世界各地的法规和要求正在不断发展，安全设计、安全软件开发、软件责任和自我证明以及第三方认证等主题正在主导对话。

随着形势的发展，软件供应商将越来越需要熟悉需求。由于攻击者希望利用广泛使用的软件供应商，这些要求旨在帮助减轻软件供应链攻击给世界各国政府和国家带来的风险。

从制定国内安全软件要求的国家到旨在削弱代表国际关注的危险的全球努力，以下是一些旨在保护软件供应链的最著名的举措和计划。

美国——网络行政命令

美国软件供应链安全指南和要求的大部分可以追溯到第 14028 号行政命令（EO）“关于改善国家网络安全的行政命令”。虽然行政命令本身并没有制定许多相关要求，但它为大多数要求制定了指导方针。第 4 节特别关注“增强软件供应链安全”，并对美国国家标准与技术研究所 (NIST)、管理和预算办公室 (OMB)、网络安全和基础设施安全局 (CISA) 等提出了要求。

OMB 22-18 和 23-16

根据网络行政命令，管理和预算办公室 (OMB) 发布了两份备忘录22-18和23-16，每份备忘录都重点关注软件供应链安全，并开始推动要求，例如对所有向美国联邦销售的软件供应商提出要求。政府开始自我证明遵循安全软件开发实践，例如 NIST 的安全软件开发框架 (SSDF)。它还要求在某些情况下使用SBOM，甚至在机构保证风险足够大的情况下使用第三方评估组织。

FDA 确保医疗设备的网络安全/第 524B 节

在美国受到特别关注的一个值得注意的领域是医疗设备。最新的努力来自于美国食品和药物管理局 (FDA) 在《联邦食品、药品和化妆品法案 (FD&C)》第524B条中提出的新要求。它涉及医疗设备的上市前提交，要求记录医疗设备系统的安全风险管理活动，并指出除了漏洞评估和威胁建模等活动之外还需要 SBOM。

它还特别指出了纳入医疗设备的开源软件组件的作用以及应从风险管理角度考虑的潜在风险。

SSDF

虽然本身不​​是监管或合同要求，但如果不触及 NIST安全软件开发框架 (SSDF)，美国对软件供应链安全的讨论就不完整。

Cyber​​ EO 要求中产生的另一个项目是 NIST 生产更新的 SSDF 和 OMB，NIST 现在已将其列为向美国联邦政府销售的软件供应商自我认证要求的一个关键方面。

SSDF 利用多个现有的安全软件开发框架，例如OWASP 的安全应用程序成熟度模型(SAMM) 和 Synopsys 构建安全成熟度模型 (BSIMM)，来交叉引用生产安全软件时应遵守的实践。

国家网络战略——软件责任

2023 年发布的最新美国国家网络战略 (NCS)重点关注软件供应链安全，包括呼吁需要“重新平衡保卫网络空间的责任”。

将焦点从客户和消费者转移到软件供应商不仅是该战略的关键主题，也是 CISA 等机构和领导者“设计安全”计划的关键主题。NCS 的第三支柱侧重于塑造市场力量以推动安全性和弹性，并呼吁开展诸如追究数据管理者责任和推动安全设备开发等活动，甚至引入了备受争议的“软件责任”主题。

2023 年开源软件安全法案

与社会其他部门一样，美国联邦政府越来越依赖开源软件。2022 年的《保护开源软件法案》公开承认了这一点。该法案认识到 OSS 的重要性，并呼吁 CISA 等机构直接参与 OSS 社区。它规定了 CISA 主任在外展和参与方面的职责，并帮助促进提高 OSS 生态系统的安全性。

欧洲联盟——网络弹性法案

在欧盟方面，一项成为全球头条新闻的立法是《欧盟网络弹性法案》。这是一项影响深远且全面的立法，为包含数字元素的产品的供应商和开发商制定了共同的网络安全规则和要求。

该法案涵盖硬件和软件以及任何具有“数字元素”的产品。与 GDPR 非常相似，尽管是在欧盟设计的，但由于适用于整个欧盟市场的产品，因此具有深远的影响，这些产品实际上可能不是最初在欧盟制造的，而是在欧盟市场销售的。

该法案要求网络安全成为具有数字元素的产品设计和开发的关键因素，不合规除了行政罚款外，还可能导致产品在欧盟市场的供应受到限制。

人工智能法案

紧随《网络弹性法案》之后的是《欧盟人工智能法案》，该法案的重点是确保在欧盟市场上实施可信赖的人工智能系统的开发和使用条件。《人工智能法案》规定了各种可接受的风险级别，从低到最低到完全禁止某些用途，例如导致侵犯人类尊严或操纵人类行为的用途。

该法案适用于投放市场或在欧盟使用的服务的人工智能系统，再次证明了其广泛的影响力。被视为高风险的系统的生产商需要执行各种风险管理和治理活动，并自我证明其遵守该法案，不遵守该法案可能会导致高达全球营业额的 4% 或数千万欧元的损失。

加拿大

保护组织免受软件供应链威胁也是加拿大的首要任务。加拿大网络安全中心 (CCCS) 协助出版了《转变网络安全风险平衡：设计和默认安全的原则和方法》。

它还将软件供应链攻击确定为 CCCS 2023-2024国家网络威胁评估中的一个关键问题。CCCS 还在 2023 年发布了《保护您的组织免受软件供应链威胁》，为使用 SSC 的公司提供指导。

澳大利亚

2023年3月，澳大利亚网络安全中心（ACSC）发布了《软件开发指南》，重点关注跨软件开发生命周期和环境的各种安全控制。它还强调需要进行应用程序安全控制和测试来解决漏洞，并引用了 SBOM 的用例。澳大利亚还参加了国际“四方网络安全伙伴关系：安全软件联合原则”。

全球

虽然每个国家都在推动自己的国内软件安全议程，但全球范围内也正在努力。其中一项被称为“四方网络安全伙伴关系：安全软件联合原则”，于 2023 年 5 月发布，由美国、印度、日本和澳大利亚合作制定。

它的重点是将安全软件开发实践纳入政府政策和供应商的软件采购中。它与 NIST SSDF 中的四个阶段相一致，并讨论了要求软件生产商进行自我证明甚至在必要时进行第三方认证的意图。