美国发布新的国家网络安全战略：软件安全责任转移，重视软件供应链安全

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

日前，美国政府发布全新的《国家网络安全战略》，旨在为软件产品和服务设立安全责任主体，并为关键基础设施行业设立强制性最低网络安全要求。

该战略如完全执行，则会增强联邦和私营行业主体阻断威胁行动的能力，并要求所有处理个人数据的实体更加关注如何保护数据。该战略的一个重要目标是使联网立法人员通过税务结构和其它机制，寻找激励所有利益相关者采用更好的安全实践的机会。

重新平衡网络安全的责任

美国总统拜登在介绍中提到，“国家网络安全战略面临的系统性挑战是，太多网络安全责任落到个体用户和小型用户身上。我们与行业、公民社会以及各州、各地方、各部落和各领地政府一起，重新平衡网络安全责任，让这一责任的分担更加有效和平等。”

该战略旨在围绕五个具体领域：保护关键基础设施、阻断威胁行动和基础设施、倡导软件厂商和组织机构更加安全地处理个人数据、投入更多弹性技术以及加强网络安全领域的国际合作。

其中，围绕关键基础设施安全和将安全责任转移到软件厂商和数据处理商的计划产生的影响最大。

在关键基础设施安全方面，该战略提出扩展最低网络安全要求，覆盖所有运营商和关键基础设施。相关法规将基于现有的网络安全标准和指南如美国标准与技术研究院 (NIST) 提出的“改进关键基础设施网络安全”和美国网络安全和基础设施安全局 (CISA) 提出的“网络安全行为计划”。

关注安全设计

这些要求将基于行为，与不断变化的要求相适应，并专注于推动安全设计理念的采用。

该战略文档提到，“虽然自愿采用关键基础设施安全的方法已经产生有意义的改进，但由于缺少强制性要求，结果并不正确且不一致。”监管也可创建公平的机会，在无需牺牲网络安全或运营弹性的情况下促进良性竞争。对于那些经济和技术资源无法满足新要求的关键基础设施运营商，该战略为他们提供了获得这些资源的新渠道。

CISA的前首席战略师兼Claroty公司的现任网络安全副总裁 Joshua Corman提到，拜登政府选择将关键基础设施成为优先事项发挥着重要作用。他提到，“这个国家已看到关键基础设施遭受网络破坏对于无数关乎生命的功能造成的重大影响，如对水、食物、燃料和病患照料等产生的影响。这些重要系统遭受的破坏越来越多，这些关键基础设施的所有人和运营人员我称之为‘目标富裕，网络糟糕’。”这些目标通常最具影响力，但自身的防御资源最少。

Telos 公司的政府关系经理 Robert DuPree 认为，国会支持是拜登提振关键基础设施网络的关键。他在一份声明中指出，“对其它关键基础设施施加强制性网络安全要求，在某些情况下将需要国会授权，而在目前的政治环境下可能性极小。共和党众议院大多数反对新的政府强制要求，可能不会给出拜登政府此类授权。”

软件厂商需对软件安全负责

这份新的国家网络安全战略强调，软件厂商对技术的安全性负有更多直接的责任，这一计划具有争议。该战略将不安全软件和服务的责任，从承担不安全软件后果的终端用户身上转移到了厂商身上。

拜登政府将与国会一起尝试通过一项法案，阻止具有市场能力的软件制造商和发布商通过合同的方式不承担责任。该战略为提供软件开发和维护安全实践的组织机构提供了安全港。

该战略文档指出，“太多的厂商忽略了安全开发的最佳实践，交付具有不安全的默认配置或已知漏洞的产品”，以及具有第三方组件的产品。

除了将网络安全责任转移给软件厂商外，该战略还呼吁为所有处理个人数据尤其是地理位置和医疗数据的组织机构，设立最低安全要求。

Sonatype 公司的首席技术官兼联合创始人 Brian Fox 提到，美国国会支持将责任转移到软件厂商的端倪已存在十多年的时间。他指出，“2013年发布的《H.R.5793——网络供应链管理和透明度法案》即Royce法案启动了关于引入物料清单的对话。”

虽然该提案最终并无法更进一步，但所有联邦政府的软件提供商必须按需生成SBOM的要求最终出现在了拜登政府在2021年5月发布的行政令中。他提到，“最近，我们已经看到2022年的《开源软件保护法案》已经通过委员会开展工作。很明显国会正在寻求推动行业进步的方式，而战略给出了可考虑的具体新元素。”

萝卜加大棒

为了指导更好的安全行为，美国联邦政府将通过其强大的采购力，使软件和服务提供商实际遵守最低安全要求。美国联邦政府将通过拨款和其它机制如费率流程和税务机构，使组织机构在网络安全方面投入更多。

Allegro Solutions 公司的网络安全合规专家 Karen Walsh 指出，如果该计划按预期执行，则使企业心态从“安全意味着惩罚”转变为“安全意味着奖励”。他提到，“从很多方面来看，它类似于政府如何为清洁能源计划提供激励的情况。”

网络对抗

该新战略的一个主要关注点是增强联邦政府和私营行业阻断威胁者行动和基础设施的能力。这些计划包括开发出整体型政府的阻断能力、更加协调地打击犯罪分子基础设施和资源的行为以及使威胁者更难以使用美国基础设施实施网络威胁行动。

Forrester 公司的高级分析师Allie Mellen指出，“瓦解威胁者的情况不可能广泛发生。它类似于‘黑回去’的理念，从理论上来说很好，但难以执行。”Mellen 认为所提议的扩大对关键基础设施提供商的监管，是该战略中最重要的组成部分。她认为，“它不仅要设立一系列最低网络安全要求，而且将把技术提供商如基础设施即服务企业连接到这些要求中，扩宽影响范围。”

Claroty公司的网络安全副总裁Corman认为，新战略中一些提案很可能会触发一些艰难的对话，但他认为这样做恰逢其时，“越是有争议的话题如软件责任，越难以实现。”但他认为为此做出的努力非常重要。他表示，“当前的关键基础设施的网络弹性状态和预期状态之间存在巨大鸿沟，我们需要大胆设想、大胆行动，才能抹平这一鸿沟。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com