軟體供應商與購買者均日益需要熟悉為了減緩軟體供應鏈攻擊事件而制訂的全球規範與法規。
文/Chris Hughes‧譯/高忠義
供應鏈安全持續受到網路安全領域人士的高度關注,而且那是很有理由的:諸如 SolarWinds、Log4j、微軟與 Okta 軟體供應鏈安全事故持續地同時影響私有軟體領導廠商,以及獲得普遍採用的開源軟體/開放原始碼軟體(OSS)元件。
這樣的關注全球皆然。隨著各國政府均致力減緩軟體供應鏈攻擊事件的風險,世界各國持續增修各種法規與規範,而像是基於安全的設計、軟體開發安全、軟體責任、自行聲明,以及第三方認證這類的議題都成為主流的討論內容。
[ 推薦文章:加快 AI 採用 ]
軟體供應商日益需要隨著情勢演變熟悉各項規範。由於攻擊者亟力利用普獲採用的軟體供應商,這些規範的目的就是要協助減緩軟體供應鏈攻擊給全球各國政府帶來的風險。
有些國家自行制訂國內的安全軟體規範,而在全球場域,如何致力於減弱風險,也成為國際關注焦點,以下說明一些以保護軟體供應鏈為目的而最值得一提之方案與計劃。
美國
▪︎網路安全行政命令
美國的軟體供應鏈安全指南與規範有多項內容可以追溯到(EO)14028 號行政命令,「改善國內網路安全之行政命令」。
雖然這項行政命令本身並未設定多少相關的規範,但它仍設定規範背後的指導原則。尤其當中的第四條著重於「增進軟體供應鏈安全」,並列出國家標準技科技局(NIST)、預算管理局(OMB)、網路安全與基礎設施安全局(CISA)與其他機關的要求。
▪︎預算管理局 22-18 與 23-16 備忘錄
依據網路安全行政命令,OMB 發布了兩項備忘錄,22-18 與 23-16,兩者均聚焦於軟體供應鏈安全,並開始推進一些要求,像是所有銷售軟體給美國聯邦政府的軟體供應商必須自行聲明會遵守軟體開發安全實務,例如 NIST 的軟體開發安全框架(SSDF)。
同時,也呼籲在某些情況下採用軟體物料清單,甚至如果機關確認風險有相當重大的程度,也需要採用第三方評量組織。
▪︎FDA 確保醫療器材網路安全/第 524B 條
美國還有另一個值得說明的領域得到特殊的關注,也就是醫療器材產業。最新努力推進的政策是依據美國食品暨藥物管理局(FDA)在聯邦食品、藥物與化妝品法(FD&C)第 524B 條而擬訂的新要求。
[ 熱門精選:當生成式 AI 搶走了每一位資訊長的關注時,量子運算正準備走向舞台中央? ]
該條規範醫療器材上市前的申請事項,並要求記錄醫療器材系統的安全風險管理活動,並呼籲有必要擬訂軟體物料清單,並執行弱點評估與威脅模型化等活動。
這些新要求也特別強調醫療器材內含開源軟體元件的角色,以及應從風險管理角度加以審酌的潛在風險。
▪︎軟體開發安全框架
雖然這項規範文件本身並不是法規或契約要求,但在美國討論軟體安全供應鏈時,若未探討 NIST 的軟體開發安全框架就不完整。
網路安全行政命令衍生的另一項要求則是依據 NIST 修訂後 SSDF 與 OMB,更新後的內容已規定對美國聯邦政府進行銷售活動的軟體供應商必須將 NIST 的要求列為自我聲明中的關鍵面向之一。
[ 熱門精選:生成式 AI 應用在軟體開發領域 ]
SSDF 採用數項既有的軟體開發安全框架,像是 OWASP 的安全應用成熟模型(SAMM)與 Synopsys Building Security In Maturity Model(BSIMM)軟體安全建構成熟度模型,兩者均交互參照為了製造安全軟體而應遵守的實務做法。
▪︎國家網路策略—軟體責任
最新版的美國國家網路策略(NCS),發布於 2023 年,而且高度強調軟體供應鏈安全,包括呼籲需要「重新平衡責任,以保護網路空間。」將焦點由顧客與消費者轉向軟體供應商,這不僅是策略的關鍵主題,也是 CISA 這類機關與領導人在其「基於安全的設計」提案的關鍵主題。
NCS 的第三支柱著重在建構市場力量以推動安全及彈性,並倡議多項活動,例如要求資料管理人負起責任,並推進安全裝置的開發,甚至提出熱烈論辯的「軟體責任」議題。
▪︎2023 年開源軟體安全法
美國聯邦政府與其他社群一樣,日益仰賴開源軟體。2022 年的開源軟體安全法也公開承認這一點。該法承認開源軟體的重要性,並呼籲 CISA 這樣的機關直接參與開源軟體社群。該法表明 CISA 主任有責任主動接觸,並參與,以及協助改善開源軟體生態系統的安全性。
歐洲聯盟
▪︎網路彈性法
在歐洲戰線,有項立法成為全球新聞頭條,也就是歐盟網路彈性法。這項法律的影響深遠,而且內容相當廣泛,詳列含有數位要素產品的供應商與開發生應共同遵守的網路安全規則與要求。
[ 熱門精選:AI 時代 網路安全角色的演變與招募重點 ]
該項法令同時規範硬體與軟體,以及任何含有「數位要素」(digital elements)的產品。與一般資料保護規則頗相似的,僅管那是歐盟制訂的,但卻有深遠的衍生影響,因為適用於全歐盟市場的產品,即使那樣的產品並不是在歐盟區域內製造的,只要在歐盟市場裡銷售即適用。
該法要求將網路安全列為具數位要素產品設計與開發中的關鍵因素,而且若不遵守規定,除了課處行政罰款之外,也可能限制在歐盟市場的銷售活動。
▪︎人工智慧法
緊隨著網路彈性法之後的熱門法規是歐盟的人工智慧法,該項法律聚焦在確保開發的條件,以及落實適當的條件以確保在歐盟市場中進行可信賴人工智慧系統的開發與運用。人工智慧法列出多種不同層級的可接受風險,從低微風險到直接禁止可能造成違反人性尊嚴或操縱人類行為情況的某些使用方式。
該項法律適用於歐盟區域內上市的人工智慧系統,或是合併使用於在歐盟區域內服務的人工智慧系統,而且同樣的,這使得該項法律有廣泛的觸及範圍。被認為具有高度風險的系統製造商將需要執行多種風險管理與治理活動,並自行驗證其行為是否遵循法律,而若違反該項法律可能課予全球總營收 4% 或數千萬歐元的罰款。
▪︎加拿大
在加拿大,保護組織免受軟體供應鏈的威脅,也是關鍵優先工作。加拿大的網路安全中心(CCCS)協助「轉移網路風險平衡:基於安全的設計之原則與方法,以及疏失態樣」之發布。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
2023-2024 國家網路威脅評估中也指出軟體供應鏈攻擊是關注的疑慮之一。CCCS 在 2023 年時也發布「保護您的組織免於軟體供應鏈威脅」,以此引導採用軟體供應鏈的各公司。
▪︎澳大利亞
在 2023 年 3 月,澳大利亞網路安全中心(ACSC)發布「軟體開發準則」,該準則的焦點在於軟體開發整個生命週期中與各項環境中的多種安全控制措施。它也強調需要採行安全制措施與測試活動以處理弱點,並且也引用軟體資料清單的使用情境。澳大利亞也參與國際的「網路安全四方夥伴:安全軟體的共通原則」。
全球
在各國推動自己國內的軟體安全議程時,國際上也有一些努力的作為。其中之一就是所謂的「網路安全四方夥伴:安全軟體的共通原則」,這項原則是在 2023 年 5 月發布的,而參與者是美國、印度、日本與澳大利亞。
該原則聚焦在如何將軟體開發安全實務納入政府政策以及向供應商採購軟體的過程。它與 NIST 的 SSDF 四階段相符,而且提到有意向軟體製造商取得自行聲明,甚至在必要時取得第三方認證。
(本文授權非營利轉載,請註明出處:CIO Taiwan)