2021年12月初,由于Log4j漏洞的发现,国际网络安全界全体都动员了起来。这个知名的漏洞在Apache的日志库中,而Apache是一个跨数百万的基于Java软件使用的核心组件。
这个名为Log4Shell的漏洞在CVSS上的评分为10/10,黑客可以利用这个漏洞在LDAP服务器上执行代码。这样一来,任何使用Log4j的软件都会受到威胁,并可能直接暴露在勒索软件的攻击之下。
全球各地迅速做出了反应,从英国到美国的政府安全中心都向企业发出了安全警告,并敦促企业保护自己的组织。虽然补丁和短期修复程序在几天后就已经发布,但FTC仍然要求所有美国企业从1月4日起必须对更新版本进行补丁,否则将面临严重的法律风险。
类似这样的事件并非个例,2021年出台的
《关于改善国家网络安全的行政命令》,是美国对安全问题的正面回应。这份报告详细阐述了美国政府在网络安全方面将采取的不断变化的做法。美国的网络安全预算接近110亿美元,比前几年增长了11%,美国这一举措一经推出就在世界各地掀起了波澜。
一、总统令中有什么?
2021年5月的总统令是拜登政府进军网络安全领域的新举措,其主要目的是使政府系统更强大、更安全、更难侵入。总统令详细列举了企业和软件供应商必须努力争取的主要因素和进展,并列出了企业在接下来的一年内需要推行的种种安全措施。
这些措施包括在第45天界定什么是软件的明确定义,在第60天概述SBOM清单的最小组成元素,以及在365天内进行额外的审查和指南更新。其中所涵盖的其他关键问题还包括:
1.消除政府与私企之间的障碍并实现信息共享;
2.联邦政府网络安全实践的现代化;
3.提高审查和修补能力;
4.创建一个标准化的规则,其中包括如何应对网络安全漏洞的具体定义和案例。
由于软件是一个广泛的领域,总统令试图统一人们所认知的软件,以及这个行业中与安全性和完整性相关的标准。
二、企业如何回应总统令?
尽管总统令规定的主体主要为美国政府正在频繁使用的软件,但私企毫无疑问也在迅速采取行动以遵循这一规定内的相关要求。尽管部分企业有一定的前置应对措施,如制造业、航空业与运输业,但如果出现问题,将会产生更加严重的后果。因此,业内绝大多数软件公司都在按照这些规范工作。
通常,在完整的软件供应链中,从Top供应商到个人客户,SBOM清单的需求已变得日益频繁。那些能够准确定义自己使用的开源软件和第三方组件来源的公司,能够证明自己公司产品的安全性,使他们在客户面前显得更加可靠和安全。
由于对SBOM的需求不断增加,加上Log4j的阴影日益逼近,软件供应链变得更加谨慎,严格统一的文档格式和对SBOM清单的需求变得至关重要。
三、总统令如何影响软件供应链
虽然总统令只适用于总部位于美国的公司,但它的影响范围已经扩大到了全世界。无论一家软件公司的总部设在哪里,这些企业的国际性扩张能力使得在英国、中国和印度开发的软件都会被部署在美国领土上。随着美国法规的变化,这对国际软件供应商将产生连锁反应。
在产业链的下游,软件几乎总是被销售给了美国客户,甚至是美国政府部门,这意味着针对美国软件的要求现在实质上已经扩展到了世界上的绝大多数地区。有了这些条款,全世界的企业不得不扪心自问:
1.我们是否遵循概述的软件开发框架?
2.我们的代码完整性和代码安全性标准是否达标?
3.我们如何保证我们的代码是安全的?
4.我们是否有一个事故反应小组可以处理可能出现的风险?
考虑到这些因素,公司现在更加关注开源管理条例。很简单的道理,如果你的软件想要进入国际供应链的全部流程,它必须遵守总统令所制定的规则和条款。
继Log4Shell之后,美国政府加强了其网络安全政策,重点是扩大他们对现代网络安全实践的理解,并增加总体上围绕软件定义的文档。因此,作为一个整体,SBOM在整个国际行业中已经变得司空见惯,任何正在积极分发的软件通常都需要一个相应的SBOM清单。
随着美国继续关注对在境内使用和部署的软件的密切监测,全球也将做出类似反应,调整文档处理流程。从代码安全测试到SBOM的创建和发布,我们现在已经进入了软件组合透明的时代。
