全球软件供应链安全指南和法规

软件供应商和用户,都需要对有效抵御软件供应链攻击的要求和法规越来越熟悉。

供应链安全继续在网络安全领域受到重点关注,这是有充分理由的:SolarWinds、Log4j、Microsoft和Okta软件供应链攻击等事件,持续影响着头部软件供应商以及广泛使用的开源软件组件,这种担忧是全球性的。

随着各国政府寻求降低软件供应链攻击的风险,世界各地的法规和要求正在不断发展,安全设计、安全软件开发、软件责任和自我证明以及第三方认证等正在成为主要话题。

软件供应商需要更加了解当地的变化。由于攻击者所利用的软件供应商十分广泛,这些要求旨在帮助减轻软件供应链攻击给国家和政府带来的风险。全球各国和地区都在为了这一焦点作出努力,以下是一些保护软件供应链最需关注的措施和计划。

01美国

1、网络行政命令

大多美国软件供应链安全指南和要求,可以追溯到提升“国家网络空间安全”14028行政命令。虽然14028没有直接制定具体要求,但要求各机构在后面作出相应的指南。第四章着重强调了“提升软件供应链安全”并且向NIST(国家标准和技术研究院)、OMB(管理和预算办公室)、CISA(网络空间和基础设施安全局)提出了要求。

根据14028,管理和预算办公室(OMB)发布了两份备忘录(22-18 和 23-16),每份备忘录都重点关注软件供应链安全,并开始推动相关要求,如要求所有向美国联邦政府销售的软件供应商,开始自我证明遵循了安全软件开发实践,如 NIST 的安全软件开发框架 (SSDF)。

它还要求在某些情况下使用 SBOM,甚至在机构认为风险足够大时使用第三方评估机构。

2、FDA 确保医疗器械的网络安全/第 524B 节

医疗器械是美国特别关注的一个领域。

美国食品和药物管理局(FDA)最新的要求,是在《联邦食品、药品和化妆品法案》(FD&C)第 524B 条中提出的。该条款要求医疗设备在上市前提交相关文件,记录医疗器械系统的安全风险管理活动,并指出除了漏洞评估和威胁建模等措施外,还需要 SBOM。它还特别指出了纳入医疗设备的开源软件组件的作用,以及应从风险管理角度考虑的潜在风险。

3、SSDF

虽然 NIST 安全软件开发框架 (SSDF) 本身并不是一项法规或合同要求,但美国在讨论软件供应链安全问题时,如果不触及该框架,那将是不完整的。

14028要求中的另一个条款是由 NIST 和 OMB 编制更新的 SSDF,NIST 现已将其列为向美国联邦政府销售的软件供应商自我证明要求的一个关键。SSDF 利用了几个现有的安全软件开发框架,如 OWASP 的安全应用成熟度模型 (SAMM) 和 Synopsys 的构建安全成熟度模型 (BSIMM),以交叉引用生产安全软件应遵循的实践。

4、国家网络战略——软件责任

2023 年发布的最新美国国家网络战略 (NCS)重点关注软件供应链安全,包括呼吁需要“重新平衡保卫网络空间的责任”。

将关注点从客户和消费者转移到软件供应商,不仅是该战略的关键主题,也是各机构和领导者(如 CISA 在其 "安全设计 "倡议中)的关键主题。NCS支柱三侧重于塑造市场力量,以推动安全性和复原力,并要求开展各种活动,如让数据管理人员承担责任、推动安全设备的开发,甚至还引入了 "软件责任 "这一热门话题。

5、2023 年开源软件安全法案

美国联邦政府与社会其他部门一样,越来越依赖开源软件。2022 年颁布的 "开源软件安全法案 "公开承认了这一点。该法案承认开放源码软件的重要性,并呼吁 CISA 等机构直接参与OSS社区。它规定了 CISA 局长在外联和参与方面的责任,并帮助促进提高OSS生态系统的安全性。

02欧盟

在欧盟方面,有一项立法成为全球头条新闻,这就是《欧盟网络弹性法案》。这是一项影响深远的综合性立法,为涉及数字元素的产品供应商和开发商制定了共同的网络安全规则和要求。

该法案包括硬件和软件以及任何具有 "数字元素 "的产品。与 GDPR 一样,尽管该法案是在欧盟设计的,但由于适用于整个欧盟市场的产品,因此具有深远的影响,这些产品实际上可能并非最初在欧盟制造,而是在欧盟市场销售。

该法案要求将网络安全作为设计和开发具有数字元素的产品的一个关键因素,不遵守该法案的产品除被处以行政罚款外,还可能被限制在欧盟市场上销售。

1、人工智能法案

紧随《网络弹性法案》之后的是《人工智能法案》,其重点是确保在欧盟市场上开发和使用可信人工智能系统的条件。《人工智能法案》规定了各种可接受的风险等级,从无风险和最小风险到完全禁止某些用途,如导致侵犯人类尊严或操纵人类行为的用途。

该法案适用于在欧盟市场上销售的人工智能系统或在欧盟使用的人工智能服务,再次显示了其广泛的适用范围。被视为高风险系统的生产商将需要执行各种风险管理和治理活动,并自我证明其符合该法案的要求,不遵守该法案最高可导致全球营业额的 4% 或数千万欧元的损失。

03加拿大

保护组织免受软件供应链威胁也是加拿大的首要任务。加拿大网络安全中心 (CCCS) 协助出版了《改变网络安全风险平衡:设计和默认安全的原则和方法》。

它还将软件供应链攻击确定为 CCCS 2023-2024国家网络威胁评估中的一个关键问题。CCCS 还在 2023 年发布了《保护您的组织免受软件供应链威胁》,为使用 SSC 的公司提供指导。

04澳大利亚

2023年3月,澳大利亚网络安全中心(ACSC)发布了《软件开发指南》,重点关注跨软件开发生命周期和环境的各种安全控制。它还强调需要进行应用程序安全控制和测试来解决漏洞,并引用了 SBOM 的用例。澳大利亚还参加了国际“四方网络安全伙伴关系:安全软件联合原则”。

05全球

尽管各国都在推动本国的软件安全议程,但全球范围内的努力也在悄然进行。其中之一被称为 "四方网络安全伙伴关系": 该文件于 2023 年 5 月发布,由美国、印度、日本和澳大利亚合作编写。

重点是在政府政策和供应商软件采购中采用安全软件开发实践。它与 NIST 的 SSDF 的四个阶段相一致,并谈到了要求软件生产商自我证明和必要时要求第三方认证的原因。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/647061.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于Springboot的影城管理系统(有报告)。Javaee项目,springboot项目。

演示视频: 基于Springboot的影城管理系统(有报告)。Javaee项目,springboot项目。 项目介绍: 采用M(model)V(view)C(controller)三层体系结构&…

JAVA笔记16--线程

进程 进程是处于运行过程中的程序,具有独立的功能,是系统进行资源分配和调度的独立单位。 独立性 进程是系统重独立存在的实体,它拥有自己独立的资源,每个进程都拥有自己私有的地址空间,在没有经过进程本身允许的情…

leetcode1237. 找出给定方程的正整数解

1237. 找出给定方程的正整数解https://leetcode.cn/problems/find-positive-integer-solution-for-a-given-equation/ 难度中等 101 给你一个函数 f(x, y) 和一个目标结果 z,函数公式未知,请你计算方程 f(x,y) z 所有可能的正整数 数对 x 和 y。满…

在线教育系统源码深度剖析:从零开始开发一款企业培训APP

下文,笔者将与大家一起深入研究在线教育系统源码,同时探究从零开始开发一款面向企业培训的APP所涉及的关键技术和流程。 一、背景介绍 企业培训是组织内部不可或缺的一环,而在线教育系统通过数字化手段,使培训更加灵活、个性化。…

深度学习与图像描述生成——看图说话(3)

目录 一、整体架构 二、学习策略 2.1 监督学习 2.2 无监督学习 2.3 强化学习 三、特征映射 3.1 定义 3.2 原理 3.3 关键技术 3.4 重要案例 3.5 特别注意下特征空间这一概念 四、语言模型 4.1 定义与原理 4.2 关键技术 4.3 重要性与作用 4.4 案例与应用 五、注…

访问网站时IP被阻止?5个解决方法

相信很多人遇到过IP禁令:比如你在访问社交媒体、搜索引擎或电子商务网站时会被限制访问,又或者你的的账号莫名被封,这些由于网络上的种种限制我们经常会遭遇IP被封的情况,导致无法使用继续进行网络行动。在本文中,我们…

SpringBoot集成Milvus2.3.4(2) |(实现向量的增删改查)

SpringBoot集成Milvus2.3.4(2) |(实现向量的增删改查) 文章目录 SpringBoot集成Milvus2.3.4(2) |(实现向量的增删改查)@[TOC]前言一、Milvus数据库的新增1.新增数据二、Milvus删除数据1.删除数据三、Milvus更新数据1.更新数据四、Milvus查询数据1.查询数据总结章节 第一…

704.二分查找(力扣LeetCode)

704.二分查找(力扣LeetCode) 给定一个 n 个元素有序的(升序)整型数组 nums 和一个目标值 target ,写一个函数搜索 nums 中的 target,如果目标值存在返回下标,否则返回 -1。 示例 1: 输入: nums…

【Mysql】数据库如何查询按 list 集合顺序的记录

场景 现在要在数据库中查询id在 list<String> 集合中记录&#xff0c;结果并按 list<String> 集合中顺序进行排序。 解决方案&#xff1a; field()函数 field() 函数的返回值是value在值列表中的索引位置。此函数执行不区分大小写的搜索。如果在值列表中找不到v…

红帽认证有啥用?初级红帽认证证书值得考吗?

大家好&#xff0c;这里是G-LAB IT实验室。 今天我们来了解一下Linux红帽认证。 红帽认证已成为企业和个人竞相追逐的热门资质。 红帽认证认可度究竟如何?红帽RHCSA认证含金量又有多高? 下面G-LAB将为你一一解答。 1 、红帽认证认可度怎么样&#xff1f; 事实上&#xff0…

钉钉互动卡片对接-普通互动卡片接入流程

这里写目录标题 一、创建内部应用二、搭建普通卡片模板三、调用互动卡片服务端接口接口报文一、发送卡片二、更新卡片三、获取token 一、创建内部应用 登录开发者后台&#xff0c;创建内部应用。 例如 百度-内部测试获取AppKey和AppSecret&#xff0c; 获取应用访问凭证获取企…

cmd_to_robot 讨论及 G29 控制优化

cmd_to_robot 讨论及 G29 控制优化 cmd_to_robot 讨论 转向电机控制代码中&#xff0c;补偿信息在循环中发布&#xff0c;转向完成信息在回调函数中发布 转动电机控制代码中&#xff0c;对转动电机的控制在转向完成的回调函数中实现 这就意味着如果一直没有 /cmd_vel 消息发…

蓝桥杯备赛 week 1 —— DP 背包问题

目录 &#x1f308;前言&#x1f308;&#xff1a; &#x1f4c1; 01背包问题 分析&#xff1a; dp数组求解&#xff1a; 优化&#xff1a;滚动数组&#xff1a; &#x1f4c1; 完全背包问题 &#x1f4c1; 总结 &#x1f308;前言&#x1f308;&#xff1a; 这篇文章主…

第10次修改了可删除可持久保存的前端html备忘录

第10次修改了可删除可持久保存的前端html备忘录 <!DOCTYPE html> <html lang"zh-CN"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>…

ASTM F2057-23衣物收纳商品安全标准

美国每年均有大量因衣物存放装置翻倒而造成人员伤害甚至死亡的报道。 因此&#xff0c;美国消费品安全委员会CPSC于2023年4月19日发布决定&#xff0c;将ASTM F2057-23作为美国消费品安全委员会的强制性安全标准&#xff0c;替代16 CFR 1261&#xff0c;以此更好保护消费者免受…

五种主流数据库:排除重复结果

查询语句有可能会返回重复的数据&#xff0c;我们可以使用 DISTINCT 关键字排除查询结果中的重复记录。 本文比较五种主流数据库排除重复查询结果的实现和差异&#xff0c;包括 MySQL、Oracle、SQL Server、PostgreSQL 以及 SQLite。 排除重复结果MySQLOracleSQL ServerPostg…

关于Linux系统的目录结构介绍常用命令介绍

目录 一. Linux系统目录结构介绍 二. 一些常用命令的介绍 1、# 与 $的区别 2、ifconfig 3、su 4、cd 5、目录查看 6、查看文件内容 7、创建目录及文件 8、复制和移动 9、其他 10、tar 11、which 12、whereis 13、find 14、chmod 三. vim的基本使用 四. SSH密…

android gradle 使用总结

一 buildscript buildscript&#xff1a;这里面的声明&#xff08;repositories&#xff0c;dependencies&#xff09;是 gradle脚本自身需要使用的资源&#xff0c;会优先加载&#xff0c; 而外面的声明&#xff08;repositories&#xff0c;dependencies&#xff09;是项目…

QT+C++桌面程序窗体框架模板-中英文切换-文件打开历史记录-工具选项设置

程序示例精选 QTC桌面程序窗体框架模板-中英文切换-文件打开历史记录-工具选项设置 如需安装运行环境或远程调试&#xff0c;见文章底部个人QQ名片&#xff0c;由专业技术人员远程协助&#xff01; 前言 这篇博客针对《QTC桌面程序窗体框架模板-中英文切换-文件打开历史记录-…

认识数学建模

文章目录 1 什么是数学建模2 数学建模的比赛形式3 参加数学建模的好处4 数学建模的流程5 数学建模成员分工6 数学建模常用软件7 数学建模竞赛7.1 美国大学生数学建模竞赛7.2 MathorCup高校数学建模挑战赛7.3 华中杯大学生数学建模挑战赛7.4 认证杯数学建模网络挑战赛7.5 华东杯…