白宫发布软件供应链安全新指南：M-22-18

2022年9月14日，白宫和总统办公厅刚刚向美国政府和联邦执行部门及机构的负责人发布了一份M-22-18备忘录，要求他们通过安全的软件开发实践来加强软件供应链的安全性。

该备忘录中的指导方针是在2022年8月美国开放源码软件计划研讨会不久后出台的，同时美国国会最近通过了《2022加强美国 络安全法案》，该法案巩固了2021年春季美国总统办公室发布的 络安全行政命令，并以《2022年联邦信息安全现代化方案》为基础。

该份备忘录通过确定各机构和政府在软件监管和保护软件供应链方面的具体责任来巩固这一点。联邦机构现在必须使用合规的软件生产商提供的软件，这些软件生产商必须提供自己的合规性证明——证明自己（或提供第三方证明）是如何遵守SSDF安全软件开发框架的。

具体来说，该备忘录的主要内容有：

1.机构在使用软件之前必须从软件生产商哪里获得所有第三方软件的自我认证，包括软件更新和主要版本变更信息。

2.根据需要，机构可以从软件生产商那里获得证明其符合SSDF的构件，例如SBOM等。

3.机构应对所有符合备忘录要求的软件进行盘点，并单独对“关键软件“进行盘点。

4.各机构应制定连贯一致的程序，向供应商通 本备忘录中的相关要求。

5.机构CIO应与机构要求的活动和机构CAO协调，评估组织培训需求，并制定培训计划，以审查和验证全部认证文件和工件。

6.总统管理和预算办公室（OMB）将于CISA和GSA协商，为软件认证和工件建立一个集中的存储库，以及在联邦机构之间保护和共享的适当机制。

为什么现在才发布这些指导方针？从美国政府的行动中可能产生的后果是什么？ 络安全行业在这些问题上的立场是什么？接下来，我们进行初步的探讨。

考虑因素

一般来说，有以下四个重要因素可以解释为什么白宫现在选择将该问题置于聚光灯下：

1.在过去两年中， 络威胁在频率和严重程度上都大幅升级。2020年，一些联邦机构和大公司被SolarWinds事件所侵害。这严重威胁到了政府服务，并使私企的大量个人信息和商业数据面临风险。

2.在新备忘录附带的简 文件中，美国政府明确表达了对源自犯罪组织和外国政府的开源软件的担忧。白宫认为这与美国的利益不相容或对立。

3.寻求与白宫合作的组织必须在其软件供应链安全方面完全透明。它们必须提供使用的组件和依赖以及它们的潜在风险，同时确保它们的使用符合开源许可证的所有合规性要求。实际上，这就意味着美国政府及其机构要求所有软件商提供完备的SBOM与合规性正面。

4.美国政府和相关机构不接受采买包含任何已知漏洞的软件。白宫的目标是努力确保自己不会接收到任何漏洞，但这个“零漏洞”的目标是否切实可行还有待观察。

业界看法

到目前为止，软件和 络安全行业对白宫出台的这些指南一直保持谨慎、欢迎的态度。一方面，这表明美国政府越来越重视 络安全问题。另一方面，这种繁琐的规则会使企业自己利润丰厚的政府合同处于危险之中。

所以，有部分人士一直怀疑白宫这些美好愿望的可行性，特别是从政府软件供应链中彻底消除软件漏洞的期望。随着开源软件使用的不断增加，以及组件、依赖关系和更新的频繁与大量更改，使得白宫这种想法看起来是不切实际的。这种“零漏洞”的想法看起来过于简单，没有充分考虑到有效的使用分析和优先级排序等更好的解决方法。

上下文的重要性

假设你有一个包含100个不同实用函数的库，但你只使用其中的5个，另外95个中的一个可能存在一个高危漏洞。但是如果它们从未被调用，从来不活跃，那么它们就不构成威胁。像UniSCA这样的解决方案可以做的事情之一就是检查你是否实际调用了一个易受攻击的组件或函数。通过知识图谱技术可以直观清晰的进行分析——如果它是安全的，你可以开绿灯。如果它不安全，但是并未被使用，你也可以将它作为低优先的修复选项。对这样的漏洞进行优先级排序比试图检测和修复每个漏洞更快，也更有效。

尽管如此，美国政府正试图引导一个正确的解决方向——推广SBOM的使用、漏洞检测和合规性调查。这是积极的，所以企业存在的理由就是跟上新的安全挑战和指南规则，使用高效的SCA工具来找到解决软件漏洞管理的最佳方案。