聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

日前，美国政府发布全新的《国家网络安全战略》，旨在为软件产品和服务设立安全责任主体，并为关键基础设施行业设立强制性最低网络安全要求。

该战略如完全执行，则会增强联邦和私营行业主体阻断威胁行动的能力，并要求所有处理个人数据的实体更加关注如何保护数据。该战略的一个重要目标是使联网立法人员通过税务结构和其它机制，寻找激励所有利益相关者采用更好的安全实践的机会。

01

重新平衡网络安全的责任

美国总统拜登在介绍中提到，“国家网络安全战略面临的系统性挑战是，太多网络安全责任落到个体用户和小型用户身上。我们与行业、公民社会以及各州、各地方、各部落和各领地政府一起，重新平衡网络安全责任，让这一责任的分担更加有效和平等。”

该战略旨在围绕五个具体领域：保护关键基础设施、阻断威胁行动和基础设施、倡导软件厂商和组织机构更加安全地处理个人数据、投入更多弹性技术以及加强网络安全领域的国际合作。

其中，围绕关键基础设施安全和将安全责任转移到软件厂商和数据处理商的计划产生的影响最大。

在关键基础设施安全方面，该战略提出扩展最低网络安全要求，覆盖所有运营商和关键基础设施。相关法规将基于现有的网络安全标准和指南如美国标准与技术研究院 (NIST) 提出的“改进关键基础设施网络安全”和美国网络安全和基础设施安全局 (CISA) 提出的“网络安全行为计划”。

02

关注安全设计

这些要求将基于行为，与不断变化的要求相适应，并专注于推动安全设计理念的采用。

该战略文档提到，“虽然自愿采用关键基础设施安全的方法已经产生有意义的改进，但由于缺少强制性要求，结果并不正确且不一致。”监管也可创建公平的机会，在无需牺牲网络安全或运营弹性的情况下促进良性竞争。对于那些经济和技术资源无法满足新要求的关键基础设施运营商，该战略为他们提供了获得这些资源的新渠道。

CISA的前首席战略师兼Claroty公司的现任网络安全副总裁 Joshua Corman提到，拜登政府选择将关键基础设施成为优先事项发挥着重要作用。他提到，“这个国家已看到关键基础设施遭受网络破坏对于无数关乎生命的功能造成的重大影响，如对水、食物、燃料和病患照料等产生的影响。这些重要系统遭受的破坏越来越多，这些关键基础设施的所有人和运营人员我称之为‘目标富裕，网络糟糕’。”这些目标通常最具影响力，但自身的防御资源最少。

Telos 公司的政府关系经理 Robert DuPree 认为，国会支持是拜登提振关键基础设施网络的关键。他在一份声明中指出，“对其它关键基础设施施加强制性网络安全要求，在某些情况下将需要国会授权，而在目前的政治环境下可能性极小。共和党众议院大多数反对新的政府强制要求，可能不会给出拜登政府此类授权。”

03

软件厂商需对软件安全负责

这份新的国家网络安全战略强调，软件厂商对技术的安全性负有更多直接的责任，这一计划具有争议。该战略将不安全软件和服务的责任，从承担不安全软件后果的终端用户身上转移到了厂商身上。

拜登政府将与国会一起尝试通过一项法案，阻止具有市场能力的软件制造商和发布商通过合同的方式不承担责任。该战略为提供软件开发和维护安全实践的组织机构提供了安全港。

该战略文档指出，“太多的厂商忽略了安全开发的最佳实践，交付具有不安全的默认配置或已知漏洞的产品”，以及具有第三方组件的产品。

除了将网络安全责任转移给软件厂商外，该战略还呼吁为所有处理个人数据尤其是地理位置和医疗数据的组织机构，设立最低安全要求。

Sonatype 公司的首席技术官兼联合创始人 Brian Fox 提到，美国国会支持将责任转移到软件厂商的端倪已存在十多年的时间。他指出，“2013年发布的《H.R.5793——网络供应链管理和透明度法案》即Royce法案启动了关于引入物料清单的对话。”

虽然该提案最终并无法更进一步，但所有联邦政府的软件提供商必须按需生成SBOM的要求最终出现在了拜登政府在2021年5月发布的行政令中。他提到，“最近，我们已经看到2022年的《开源软件保护法案》已经通过委员会开展工作。很明显国会正在寻求推动行业进步的方式，而战略给出了可考虑的具体新元素。”

04

萝卜加大棒

为了指导更好的安全行为，美国联邦政府将通过其强大的采购力，使软件和服务提供商实际遵守最低安全要求。美国联邦政府将通过拨款和其它机制如费率流程和税务机构，使组织机构在网络安全方面投入更多。

Allegro Solutions 公司的网络安全合规专家 Karen Walsh 指出，如果该计划按预期执行，则使企业心态从“安全意味着惩罚”转变为“安全意味着奖励”。他提到，“从很多方面来看，它类似于政府如何为清洁能源计划提供激励的情况。”

05

网络对抗

该新战略的一个主要关注点是增强联邦政府和私营行业阻断威胁者行动和基础设施的能力。这些计划包括开发出整体型政府的阻断能力、更加协调地打击犯罪分子基础设施和资源的行为以及使威胁者更难以使用美国基础设施实施网络威胁行动。

Forrester 公司的高级分析师Allie Mellen指出，“瓦解威胁者的情况不可能广泛发生。它类似于‘黑回去’的理念，从理论上来说很好，但难以执行。”Mellen 认为所提议的扩大对关键基础设施提供商的监管，是该战略中最重要的组成部分。她认为，“它不仅要设立一系列最低网络安全要求，而且将把技术提供商如基础设施即服务企业连接到这些要求中，扩宽影响范围。”

Claroty公司的网络安全副总裁Corman认为，新战略中一些提案很可能会触发一些艰难的对话，但他认为这样做恰逢其时，“越是有争议的话题如软件责任，越难以实现。”但他认为为此做出的努力非常重要。他表示，“当前的关键基础设施的网络弹性状态和预期状态之间存在巨大鸿沟，我们需要大胆设想、大胆行动，才能抹平这一鸿沟。”

---

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

在线阅读版：《2021中国软件供应链安全分析报告》全文

第三方app受陷，Atlassian 数据被盗

奇安信总裁吴云坤：构建四大关键能力 体系化治理软件供应链安全

几乎所有企业都与受陷第三方之间存在关联

热门开源Dompdf PHP 库中存在严重漏洞

命令注入漏洞可导致思科设备遭接管，引发供应链攻击

命令注入漏洞可导致思科设备遭接管，引发供应链攻击

PyTorch 披露恶意依赖链攻陷事件

速修复！这个严重的 Apache Struts RCE 漏洞补丁不完整

Apache Cassandra 开源数据库软件修复高危RCE漏洞

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

PHP包管理器Composer组件 Packagist中存在漏洞，可导致软件供应链攻击

LofyGang 组织利用200个恶意NPM包投毒开源软件

软件和应用安全的六大金科玉律

美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录（全文）

OpenSSF发布4份开源软件安全指南，涉及使用、开发、漏洞报告和包管理等环节

美国政府发布联邦机构软件安全法规要求，进一步提振IT供应链安全

美国软件供应链安全行动中的科技巨头们

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

谷歌推出开源软件漏洞奖励计划，提振软件供应链安全

黑客攻陷Okta发动供应链攻击，影响130多家组织机构

Linux和谷歌联合推出安全开源奖励计划，最高奖励1万美元或更多

开源web应用中存在三个XSS漏洞，可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞，影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps，更安全的应用

他坦白：只是为了研究才劫持流行库的，你信吗？

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持，用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟：管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名，我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册：SBOM的生成和提供》解读

和GitHub 打官司？热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力，NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜：维护人员对俄罗斯用户发特定消息，谁来保证开源可信？

NPM逻辑缺陷可用于分发恶意包，触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员，发动供应链攻击

哪些NPM仓库更易遭供应链攻击？研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用，可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾：利用开源服务中的严重漏洞，攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ，CVSS评分10分

开源组件11年未更新，严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

原文链接：

https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security

题图：Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~