白宫现在只会采购满足SSDF框架的软件

白宫发布了针对联邦机构的软件安全规则，作为支撑美国 IT 供应链的更大努力的一部分。

今天的要求源于美国总统乔 · 拜登2021年5月发布的 络安全行政命令，该命令是为了应对太阳风公司的灾难和其他高调的软件供应链干预。

具体来说，联邦政府机构现在必须从他们使用的任何第三方软件供应商那里获得自我认证。这基本上是供应商保证他们的产品满足最低 NIST 安全软件开发标准（SSDF）的保证。

如果和当他们与第三方软件供应商续签许可证，或者当开发者对代码做出任何重大更改时，代理商必须获得一个新的自我认证。这些要求由管理和预算办公室起草，适用于从现在开发的软件，包括未来的任何主要版本。它们不适用于机构内部开发的代码——尽管无论如何都鼓励遵守规则。

规则还指出，如果软件供应商“不能证明一个或多个标准自我认证表格中确定的 NIST 指南的做法”，那么技术公司需要识别潜在的风险，记录他们将如何减轻这些风险，并制定一个“行动计划和里程碑”，也根据 NIST。

我们希望这些需求能够产生安全、可靠的软件，或者至少让政府工作人员在部署应用程序时了解风险和缓解措施。例如，机构有最多270天的时间来收集关键软件的自我认证通知。

山姆大叔希望联邦机构和软件供应商对这些证词保密，这样美国就不会在如何侵入美国 络方面给外国间谍和其他恶棍提前通知。“代理机构应采取适当措施，确保此类文件不公开张贴，无论是由供应商还是代理机构本身,”规则指示。

代替软件供应商的自我认证ーー或者，如果一个机构想要使用开源软件或包含开源代码的产品ーー那么白宫表示，由经过认证的联邦风险与授权管理计划(FedRAMP)评估机构进行第三方评估就可以了。

由经认证的 FedRAMP 第三方评估组织(3PAO)或由该机构批准的第三方评估代替软件生产商的自我认证，包括在开源软件或包含免费代码的产品的情况下，只要3PAO 使用 NIST 指南作为评估基准，就可以接受第三方评估。

最后，备忘录鼓励代理机构从开发人员那里获得“工件”，例如软件材料清单(SBOM) ，“根据需要证明符合安全软件开发实践”。

如果联邦政府要求，机构还可以要求软件制造商提供证据，证明其“参与了一个漏洞披露程序”，从而确保任何发现的漏洞都可以被标记并修复。

联邦信息安全官员 Chris DeRusha 在一份声明中说: “不久前，衡量软件质量的唯一真正标准是它是否像广告宣传的那样有效。”

德鲁沙补充说，今天的要求“将确保数百万行支撑联邦机构工作的代码在适当的行业安全标准下构建。”

虽然这些安全规则只适用于联邦政府及其承包商，但它们可能也会对私营企业产生影响，因为它们使用的许多安全产品和服务都来自向联邦政府提供服务的供应商。

正如一位高级政府官员在有关拜登行政命令的新闻发布会上所说，“我们都在使用相同的软件。我们都在使用 Outlook 电子邮件。我们都在用 Cisco 和 Juniper 路由器。因此，从本质上讲，通过设定这些安全软件标准，我们将使所有人广泛受益。”

Chainguard 的首席执行官 Dan Lorenc 说，这反过来将要求技术提供商优先考虑安全软件开发，他曾是 Google 的一员，也是开源软件和供应链安全的 Sigstore 标准的共同创造者。

Lorenc 告诉 The Register: “政府在这种情况下的作用是发挥他们作为软件购买者的影响力，要求软件供应商遵守行业最佳实践和标准，以确保软件供应链的安全。”。“通过发布这一指导意见，管理和预算办公室正在划清界限，并将这一问题列为首要任务。”

现在政府已经把购买安全软件作为首要任务，“供应商需要优先考虑交付它,”他补充说。“简而言之，我们需要构建和提供更好的开发人员工具，这些工具能够无缝地集成到当今的开发生命周期中。”