美國“加強軟件供應鏈安全實踐的指南”
2021年5月12日,美國總統拜登簽署了“關于改善國家網絡安全(EO 14028)”的行政命令,其中第4節“加強軟件供應鏈安全”的(e)條款要求:初步指南發布90天內(不遲于2022年2月6日),NIST應發布加強軟件供應鏈安全實踐的指南,并明確了指南需包含的10余項具體內容(表3一二列)。
對此,NIST修訂了其2020年4月發布的《安全軟件開發框架(SSDF) V1.0》,形成V1.1草案,并于2021年9月30日至11月5日完成公開征求意見。
一、 SSDF基本原則
“安全左移”的理念已得到廣泛共識,軟件供應鏈安全保障也常基于軟件生命周期模型,但明確詳細處理軟件安全的SDLC模型卻很少,大多是將安全實踐添加其中。
SSDF描述了一組基于已有標準、指南和安全軟件開發實踐的基礎可靠的高層級最佳實踐,可幫助使用者實現安全軟件開發的目標。實踐直接或間接(如保護開發環境)涉及軟件本身,即框架考慮了軟件供應鏈安全應包括的軟件自身及相關生產要素的安全。
SSDF的重點在于實現安全軟件開發實踐的結果,而沒有明確實現它們的工具、技術和機制。SSDF并不要求所有組織具有相同的安全目標和優先級,框架中的建議恰恰反映了軟件生產者可能的獨特安全預期和軟件使用者可能的獨特安全需求。每個實踐實現的程度和形式根據生產者預期的變化而變化。
二、SSDF實踐分類
SSDF是關于安全軟件開發的一組實踐,呈現為一張描述實踐的表格,可根據需要方便的進行擴充、調整或刪減。SSDF V1.1草案共包含4類19項實踐(表1一二列):
- 組織準備(PO):此類實踐用來確保已準備好組織層面執行安全軟件開發的人員、過程和技術(某些情況下針對單獨的項目),共5項,根據行政令要求,新增了實踐“軟件開發安全環境(PO.5)”;
- 保護軟件(PS):此類實踐用來保護軟件的所有組件不受篡改和未授權訪問,共3項;
- 生產安全性良好的軟件(PW):此類實踐用于盡量減少軟件發布版本中的安全漏洞,共8項。新草案將原實踐“驗證第三方軟件是否符合安全要求(PW.3)”合并到了PW.4中;
- 漏洞響應(RV):此類實踐用來識別軟件版本中的剩余漏洞,適當響應以解決它們,并防止未來發生類似漏洞,共3項。
表1 SSDF V1.1草案中所有實踐和任務
分析草案所有實踐可知,19項實踐覆蓋了軟件供應鏈安全應包含的軟件自身及其生產要素的安全內容,整體框架較為全面:
(1) 框架中實踐涉及軟件開發生命周期的需求、設計、集成第三方軟件、編碼、構建、測試源代碼和可執行碼、漏洞修復響應和分析等各個階段的安全要求。
(2) 框架中實踐考慮到了人員、工具鏈、開發環境、授權訪問、完整性、安全配置等軟件生產要素方面的安全和防護手段。
三、SSDF實踐細節
SSDF對每項實踐的詳細描述包括4個方面:
- 實踐:實踐的簡介、唯一標識符和解釋等;
- 任務:完成實踐所需的一個或多個動作。V1.1草案中共43個(表1第三列,其中粗體的為新增任務,斜體的為從V1.0的其他實踐中調整來的任務);
- 實現示例:可用于實現相應實踐的工具、過程或其他方法的示例;
- 參考:對美機構已有標準指南中相關信息的引用。
表1中新增和調整的任務主要涉及開發環境安全、記錄維護安全需求和風險設計決策、與第三方溝通需求、維護組件和依賴項的來源數據、使用標準化安全特性和服務、驗證第三方組件等。這些進一步加強了對第三方元素、開發環境的安全管理和對安全實踐的復用。
表2以PW.4為例,給出了實踐的完整描述示例,可看出SSDF的編制參考了較為豐富的文獻。
表2 實踐詳細描述示例
四、與行政令要求的對應關系
SSDF V1.1草案中實踐任務與行政令4(e)要求的指南應包含的具體內容之間的詳細對應關系如表3所示。可以看出:
(1) 軟件供應鏈安全保障中,使用自動化工具檢查已知和未知漏洞并修復依然是核心工作。它涉及框架中18項任務,包括定義檢查標準、設計、集成、編碼、構建、代碼審查和漏洞分析、基線配置、漏洞信息收集、修復等各環節、各要素中與漏洞相關的工作。其中PW.4.4、PW.5.1、PW.7.1、PW.7.2和PW.8.2是檢查漏洞的主要任務,多由有經驗的安全人員在SAST、SCA、IAST等類型工具的輔助下完成。
(2) 實踐“復用安全軟件(PW.4)”的任務包括獲取或維護安全可靠的內部和第三方組件、驗證第三方組件符合組織要求、驗證第三方組件的完整性和來源等。這些任務多用于供應鏈來源、控制和完整性方面的安全要求(3、4、6、10)的應對方案中。其中第三方組件的驗證可以使用SCA工具進行。
(3) 新增“開發的安全環境(PO.5)”的兩項任務可用于行政令多項要求(1(1)-(6)、2、3、5、6)的應對方案中。這說明在供應鏈安全中,軟件開發環境已成為重點考慮的因素之一。
表3 SSDF任務與行政令要求的對應關系
