美國CISA、NSA和ODNI聯合發布針對開發者的保護軟件供應鏈安全指南

美國網絡安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和國家情報總監辦公室 (ODNI) 9月2日發布了軟件供應鏈開發、生產、分銷和管理流程的可操作指南，以增加這些過程對攻擊入侵的彈性。所有組織都有責任建立軟件供應鏈安全實踐來降低風險，但組織在軟件供應鏈生命周期中的角色決定了責任的形式和范圍。 NSA、ODNI和CISA制定本文件是為了促進各自的網絡安全任務職能，包括制定和發布網絡安全建議和緩解措施的責任。這一信息可以廣泛共享，以惠及所有適當的利益相關者。

這份題為《保護軟件供應鏈安全-為開發人員推薦的實踐指南》的文件由持久安全框架 (ESF) 創建，該框架是由NSA和CISA領導的公私跨部門工作組，重點關注軟件開發人員并提供建議的實踐，以確保更安全的軟件供應鏈。ESF制定了指南，作為開發人員、供應商和客戶利益相關者的建議實踐綱要，以幫助確保更安全的軟件供應鏈。

當前的指南將分為三個系列，準備與軟件供應鏈生命周期陸續發布。該系列的第一部分側重于軟件開發人員，第二部分側重于軟件供應商，第三部分涵蓋軟件客戶。該系列將有助于促進這三個不同角色之間以及網絡安全專業人員之間的溝通，這可能有助于提高軟件供應鏈流程的彈性和安全性。(期待另外兩個部分的發布!)

該文件推薦了開發人員可以用來幫助保護軟件開發生命周期 (SDLC) 的原則，這是一個用于保護軟件供應管道的重要過程。它還包括另一部分，其中包含補充前一部分的一系列附錄。每個部分都包含威脅場景的示例和建議的緩解措施。威脅場景解釋了構成 SDLC給定階段的流程如何與可能被利用的常見漏洞相關聯。推薦的緩解措施提供了可以減少威脅影響的控制措施和緩解措施。

該文件稱，采購組織可以使用該指南作為描述、評估和衡量與軟件生命周期相關的安全實踐的基礎。此外，此處列出的最佳實踐可應用于軟件供應鏈的采購、部署和運營階段。

軟件供應商(供應商)負責在客戶和軟件開發商之間建立聯系。因此，供應商的責任包括通過合同協議、軟件發布和更新、通知和漏洞緩解來確保軟件的完整性和安全性。

該指南包含建議的最佳實踐和標準，以幫助供應商完成這些任務。它將根據強烈鼓勵軟件開發人員參考的行業最佳實踐和原則提供指導。這些原則包括安全需求規劃、從安全角度設計軟件架構、添加安全功能以及維護軟件和底層基礎設施(例如環境、源代碼審查和測試)的安全性。

指南稱，當供應商的項目管理團隊從客戶的用戶群、技術基礎和營銷團隊收集功能請求時，安全的SDLC流程就開始了。這些功能涵蓋了產品的操作和安全增強功能，并用于生成用例，然后將這些用例制定為優先需求。供應商和開發人員管理團隊共同定義用于產生架構和高級設計的需求，開發團隊用來生產產品。此外，聯合管理團隊定義了產品開發安全策略和生產產品時使用的實踐。

該過程還定義了如何構建開發活動以及將收集哪些工件以進行驗證和確認。在開發和交付產品時，SDLC期間可能發生的一些常見威脅包括對手故意注入惡意代碼或開發人員無意中在產品中引入了易受攻擊的代碼。

它還可能涉及有意或無意地將易受攻擊的第三方源代碼或二進制文件合并到產品中，并利用構建過程中的弱點將惡意軟件注入產品組件中。它還可能包括在交付機制內修改產品，導致在客戶部署的原始包、更新或升級包中注入惡意軟件。

該文件提出了建議的緩解措施，即供應商和開發人員管理團隊應制定政策，以確保開發組織制定以安全為中心的原則和指導方針。這些措施包括生成架構和設計文檔，聚集訓練有素、合格且值得信賴的開發團隊，以及創建軟件產品的威脅模型。

此外，組織必須定義和實施安全測試計劃，描述發布標準并根據它評估產品，并建立產品支持和漏洞處理政策和程序。它還建議評估開發人員的能力和對安全開發過程的理解，分配培訓，記錄和發布每個軟件版本的安全程序和過程。

該指南稱，管理團隊定義了用于評估開發人員能力并提供對安全開發過程的理解的政策和程序。這些政策應說明誰需要培訓、他們必須培訓的頻率、誰有權進行培訓、相關的培訓主題以及如何評估受訓者達到培訓標準的能力。

理想情況下，開發團隊的安全培訓由集中的專家安全團隊進行，他們可以幫助產品團隊提高他們在安全開發方面的專業知識。當工程師有特定的安全問題時，它還為他們提供了一個聯系點。培訓應包括安全軟件開發和設計、安全代碼審查、軟件驗證測試以及在開發過程中使用安全和漏洞評估工具。

針對開發人員發布的軟件供應鏈指南，美國國家安全局在一份聲明中表示，隨著網絡威脅繼續變得更加復雜，對手已經開始攻擊軟件供應鏈，而不是依賴公開的漏洞。這種供應鏈攻擊允許惡意行為者在看似未被發現的網絡中移動。為了應對這種威脅，網絡安全社區需要專注于保護軟件開發生命周期。

最近的網絡攻擊(例如針對SolarWinds及其客戶執行的攻擊)以及利用Log4j等漏洞的漏洞利用凸顯了軟件供應鏈中的弱點，這是一個跨越商業和開源軟件的問題，對私營企業和聯邦企業都有影響。因此，對于軟件供應鏈安全意識和認識的需求日益增加，即軟件供應鏈可能被民族國家的對手使用類似的戰術、技術和程序 (TTP) 武器化。

除了供應鏈攻擊外，關鍵基礎設施領域還面臨著一系列勒索軟件攻擊。在針對 Colonial Pipeline的DarkSide勒索軟件攻擊之后，美國總統喬·拜登于去年5月發布了14028號行政命令，重點是改善國家的網絡安全態勢。它還制定了保護聯邦政府軟件供應鏈的新要求，并呼吁聯邦政府采取行動提高軟件供應鏈的安全性和完整性，優先解決關鍵軟件問題。

2022年7月，國土安全部 (DHS)科技局(S&T) 和CISA尋求解決軟件缺陷的意見，軟件是關鍵基礎設施系統的關鍵組成部分。由于網絡攻擊可能導致安全和生命關鍵系統中斷或損壞的事實越來越多，該合作還在尋找能夠使利益相關者了解軟件供應鏈和新的風險評估能力的技術。

參考資源

1、https://industrialcyber.co/supply-chain-security/cisa-nsa-odni-provide-developers-with-software-supply-chain-guidance/

2、CISA，NSA，ODNI，Securing the Software Supply Chain: Recommended Practices for Developers，2022.08

文章來源：網空閑話