NIST 指出,现在已有很多关于“关键”一词的定义和用法,不过它们大多基于技术如何支持多种任务或进程,如“安全关键”或“关键的基础设施”这些词语。而行政令中使用的“关键”一词稍有不同,因为它并非基于用法的上下文,而是基于既定软件的属性使其在多数情况下是“关键“的。即,它关注的是解决 络操作和安全的底层基础设施的关键功能。
NIST 指出,为了区分常见的“关键“用法以及行政令中的定义,文档中使用”EO-关键“来区分可能引起歧义的情况。
“关键软件”的定义
NIST 建议行政令的初步实现阶段主要关注具有安全关键功能的软件,或者如遭攻陷会造成类似潜在重要损害的软件。之后的实现阶段可解决其它软件类别,如:
-
控制数据访问权限的软件;
-
基于云的软件和混合软件;
-
软件开发工具如代码仓库系统、开发工具、测试软件、集成软件、封装软件和部署软件;
-
引导层固件种的软件组件;或
-
运营技术(OT)中的软件组件。
NIST 给出的属于“关键软件”的初步软件类别如下,共11类。
推荐阅读
在线阅读版:《2021中国软件供应链安全分析 告》全文
Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击
Linux 应用市场易受RCE和供应链攻击,多个0day未修复
给开发者的9个安全建议:既能保护供应链安全,也不会拖慢开发进程
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全
Linus Torvalds 警告:勿用 Linux 5.12 rc1,担心供应链攻击br>
微软和火眼又分别发现SolarWinds 供应链攻击的新后门
找到恶意软件包:Go 语言生态系统中的供应链攻击是怎样的br>
拜登签署行政令,要求保护美国关键供应链(含信息技术)的安全
坐火车太无聊,我溜入微软 VS Code官方GitHub仓库,但没敢发动供应链攻击
SolarWinds 供应链攻击中的第四款恶意软件及其它动态
OpenWRT开源项目论坛遭未授权访问,可被用于供应链攻击
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)
FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)
FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
FireEye 红队失窃工具大揭秘之:分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)
FireEye 红队失窃工具大揭秘之:分析复现 Atlassian RCE (CVE-2019-11580)
Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难
被后爹坑:开源 JavaScript 库沦为摇钱树
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
谷歌提出治理开源软件漏洞的新框架:知悉、预防、修复
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
题图:Pixabay License
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!