美国软件供应链安全行动中的科技巨头们

二、美国科技巨头在软件供应链安全行动中的角色

分析科技公司在上述软件供应链安全行动中的具体工作内容可以发现，他们的角色主要包括三个方面：

出点子

在政府机构制定相关政策和标准时，科技公司是最积极的建议提供者。例如，针对EO 14028 4(b)的研讨会之前征集的150多份意见书，几乎都是由科技和 络安全公司提供的。

其中，谷歌建议“安全开发实践结合平台、语言和框架的标准，以确保基于这些标准构建的所有应用程序的安全属性”、“将持续模糊测试集成到软件开发过程中，以有效防止引入漏洞，并通过自动化工具定期检查软件项目依赖项，确保其遵循良好安全实践，且没有已知漏洞”、“基于SLSA框架解决软件供应链完整性威胁，对SBOM进行部署和补充”。

微软建议“考虑采用与安全软件开发和供应链相关的ISO/IEC标准”、“关键软件安全措施指南应包括关键软件供应商的治理、漏洞管理计划、适当的配置，以及提高关键系统和资产可恢复性的技术及流程”、“从自动化和手工测试、需求范围、符合性验证、源代码检验的频率等方面考虑测试的最低要求”、“使用端到端的模型SCIM解决软件供应链完整性问题，并给出了SCIM的工作流程和应用示例”。

除此之外，在每次研讨会或峰会上，科技公司的代表积极出谋划策，既有技术层面的，也有战略层面的，例如，在 络安全峰会上，微软、谷歌、IBM、Travelers、Coalition等承诺将参与拜登宣布的由NIST开发改进的技术供应链安全性和完整性新框架；开源软件安全峰会Ⅰ期间，谷歌提交了确定关键开源项目，建立安全、维护和测试的基线，成立新组织以增强公共和私营部门支持等方面的提案；开源软件安全峰会Ⅱ上发布的《开源软件安全动员计划》，是Linux基金会和OpenSSF基于多家科技公司的意见完成的。

出票子

在开源软件安全峰会Ⅰ后的白宫新闻发布会上，OpenSSF总经理Brian Behlendorf曾表示：“我们来这里并非是从政府筹集资金的，我们未曾想直接从政府为任何人获得资金。”在公布的消息中，科技巨头确实承担了软件供应链安全防护一部分“金主”的角色。

络安全峰会上，谷歌宣布将在未来五年内投入100亿美元，助力保护软件供应链，加强开源软件安全；微软宣布将在未来五年内投入200亿美元，从设计上加速集成 络安全并交付高级别安全解决方案，此外还将投入1.5亿美元的技术服务，用于美联邦、州、地方政府升级安全防护措施及 络安全培训合作。

而《开源软件安全动员计划》中更是明确了改善10大问题需投入的经费，并细化到每年。在拟投入的1.5亿美元经费中，亚马逊、爱立信、谷歌、英特尔、微软和VMWare 承诺提供3000万美元，亚马逊 络服务(AWS)承诺再追加1000万美元。

具体经费投入预算如下表所示：

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

文章知识点与官方知识档案匹配，可进一步学习相关知识Java技能树首页概览91537 人正在系统学习中