美国政府备忘录中的软件自我认证

2022年9月14日，美国联邦政府的管理和预算办公室（OMB）发布了一份备忘录，其中包含了针对与软件供应链相关的新指南。该备忘录指示政府机构要求软件供应商自行证明他们已经遵守了NIST安全软件开发指南，机构在使用新软件之前必须获得该软件的自我认证。

 

备忘录详细阐述了拜登政府2021年的网络安全行政命令，该命令呼吁联邦政府“做出大胆的改变和重大投资，以保护支撑美国生活方式的重要机构。”

UniSCA专注于帮助公司降低开源软件带来的安全和许可证合规风险。开源是大多数现代应用软件供应链的重要组成部分，因此我们很自然的要向大家介绍这份备忘录对政府机构和私企的影响。

《安全软件开发》——“NIST指南”综述

在深入讨论政府备忘录之前，我们先简单介绍一下软件供应商必须遵循的安全开发过程，即“NIST指南”。

NIST指南包括以下两份文件：

1. SP 800-218
2. EO 14028

这些文件建立在《网络安全行政命令》第四条的基础上，该条命令要求美国政府“发布指南，确定加强软件供应链安全的做法。”

需要特别注意的一点是，这两份文件从两个不同的角度定义了安全软件开发实践：

SP 800-218：从软件生产者的角度，概述了软件供应商必须遵循的安全开发实践，例如数据加密、识别和补救漏洞的自动化、双重身份验证等。

EO 14028：从软件购买者即联邦机构的角度来阐述这些要求，它旨在帮助机构确保他们获得的软件的按照安全开发实践开发的。

备忘录中关于软件自我认证的范围和要求

备忘录适用于所有联邦政府机构。它要求这些机构只能使用符合NIST指南的第三方软件，这包括固件、操作系统、应用程序、基于云的软件和包含软件的产品。

备忘录包含了新软件和现有的“经过重大版本变更修改的”软件，要求它们必须实现自我认证。

具体要求为：

1. 软件生产商的名称
2. 软件产品内容说明
3. 证明书

特殊情况

备忘录中的自我认证要求有几个例外：

1.在软件生产商不能证明或全部遵守NIST指南的情况下，它必须识别差距并制定一个计划来减轻风险。然后，该机构可以进行风险分析，以评估是否使用该软件。

2.如果所购软件存在较高的风险，则可能需要进行第三方评估。

3.如果软件生产商无法完成自我认证，第三方评估可以介入进来。第三方评估应该由“FedRAMP”第三方评估组织或经机构批准的组织进行。

4.对于关键软件，机构也可能要求企业提供SBOM，这些SBOM最好以SPDX的格式提供。

自我认证备忘录时间表

90天内：清点所有备忘录涵盖的软件。

120天内：确定一个流程来向供应商传达这些新的需求，并开发一个自我认证表格的集中管理系统。

270天内：收集关键软件的认证表单。

365天内：收集备忘录涵盖的所有软件的认证表单。

此外，在备忘录发布后的120天内，CISA被要求创建一个标准化的自我认证表格以供机构使用。

如何满足备忘录的要求？

虽然这份备忘录是针对联邦机构的，但它也与私营企业密切相关。首先，向联邦政府提供软件的组织现在将被要求证明遵循NIST的安全软件开发指南。

另外，全球趋势是要求供应商对他们提供的软件给予更多的保证。所以，软件供应商（尤其是大型供应商）可能需要一些自动化工具来满足NIST的指导方针。例如UniSCA这样的软件供应链安全管理平台是满足备忘录要求的重要组成部分。例如：

1. 你可以使用UniSCA生成SPDX格式的SBOM，这是备忘录批准的标准格式之一。
2. UniSCA支持自动化漏洞检测和许可证合规性分析，这是安全软件开发的关键任务。
3. 通过完整的资产管理、审批管理和台账管理，企业可以高效率的管理软件资产，确保软件供应链安全。