NSA 发布关于集成SBOMs 提升网络安全的指南
编译:代码卫士
2021年5月,白宫发布网络安全行政令,强制要求使用 SBOMs 确保透明度和缓解网络风险,因为 SBOMs 提供了所有的软件组件如开源组件以及组件之间的关系。
NSA发布的这项指南按照美国政府之前给出的 SBOMs 建议,旨在助力组织机构按照三个步骤即网络风险分析、漏洞分析和事件响应来改进 SBOMs 管理。
NSA 建议,软件供应商应将 SBOMs 交流实践成熟化、私营机构和政府机构均应扩展 SBOMs 研究以助力解决方案标准化,而软件开发人员应当为客户安全结果负责。
指南提到,“SBOMs 和SBOM 管理工具在执行设计即安全的要求方面起着重要作用,因为它们提供了一种机制,可用于判断软件组件风险以及构建软件不受漏洞影响的信心。”软件消费者应当利用可用的政府资源来确保自己采购了安全的软件。
指南建议国家安全系统 (NSS) 所有人开发并要求包含每个软件组件详情的软件组件信息、识别所有软件依赖、含有容器组件的软件的容器组件信息、用于组件验证的数字签名或认证、使用按照合同开发的与NSS相关软件的源代码生成的SBOMs、所有软件SBOMs 的完整性、用于验证目的的逆向软件的有限权限以及用于追踪和评估的合同度量。
该指南还为 NSS 所有人推荐了一系列最佳实践并分享了组织机构在考虑 SBOMs 管理工具时应当关注的功能详情。
NSA 的网络安全总监 Rob Joyce 指出,“随着软件物料清单成为网络安全供应链风险管理标准越来越不可分割的一部分,最佳实践对于确保软件供应链效能和可靠性将变得至关重要。这些指南提供了网络所有人和运营人员在选择合适工具降低组织机构整体风险暴露时应当了解的信息。”
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。