美国国家标准与技术研究院 NIST发布软件、物联网和消费者网络安全标签指南

2 月(yue) 4 日，美(mei)國國家標(biao)(biao)(biao)準與技術(shu)研(yan)究院 (NIST) 發布了幾(ji)份文件(jian)(jian)(jian)和更新(xin)，闡(chan)明了軟件(jian)(jian)(jian)安全指南，并推薦了軟件(jian)(jian)(jian)和物聯(lian)網(wang)設備(bei)的消費(fei)者標(biao)(biao)(biao)簽(qian)做法。NIST 還制定了消費(fei)者網(wang)絡(luo)安全標(biao)(biao)(biao)簽(qian)項目的方法。

這(zhe)些(xie)舉(ju)措是米國(guo)拜*登總*統去(qu)年(nian) 5 月(yue)發(fa)布的(de)廣泛行政命令 (EO)授權的(de)。他們的(de)目標是收(shou)緊聯邦政府對(dui)其購(gou)買(mai)的(de)軟件(jian)產(chan)品(pin)的(de)安全要求，希望這(zhe)些(xie)好處也能(neng)流向私營部門(men)。標簽計劃旨(zhi)在讓消費者更深入地了解他們購(gou)買(mai)的(de)軟件(jian)和設備的(de)安全性，并提高消費者軟件(jian)和物聯網設備制(zhi)造商的(de)透明度。

軟件供應鏈安全指南和更新的 SSDF
第(di)一份文(wen)(wen)件闡明了(le)如何按照 EO 的指(zhi)(zhi)示(shi)加(jia)強(qiang)軟件供應(ying)鏈的安全性(xing)。該指(zhi)(zhi)南遵循 NIST 為滿足 EO 的最后期限(xian)而(er)開展的一系列活動(dong)，包括從社區征求立場文(wen)(wen)件、在 6 月(yue)舉辦虛(xu)擬研討會(hui)(hui)和在 11 月(yue)舉辦第(di)二次虛(xu)擬研討會(hui)(hui)、與(yu)其他聯邦機(ji)構協商并審查現有的聯邦指(zhi)(zhi)南。

該命令要求 NIST 為負(fu)有(you)軟(ruan)(ruan)(ruan)件(jian)采(cai)購相關職責的(de)(de)聯邦機(ji)構(gou)(gou)工(gong)作人(ren)員提供指導，旨在(zai)幫助聯邦機(ji)構(gou)(gou)工(gong)作人(ren)員了解軟(ruan)(ruan)(ruan)件(jian)生產(chan)商需要哪些信息(xi)來了解他們的(de)(de)安(an)全軟(ruan)(ruan)(ruan)件(jian)開發實踐(jian)。新的(de)(de) NIST 文件(jian)闡明了聯邦機(ji)構(gou)(gou)在(zai)獲取軟(ruan)(ruan)(ruan)件(jian)或(huo)包(bao)含軟(ruan)(ruan)(ruan)件(jian)的(de)(de)產(chan)品時應(ying)遵循的(de)(de)最低建議(yi)。

該命令還指(zhi)示(shi) NIST 為(wei)軟(ruan)件(jian)生產(chan)商(shang)定義行動或(huo)結果，例如商(shang)業現貨(huo) (COTS) 產(chan)品供應商(shang)、政(zheng)府現貨(huo)軟(ruan)件(jian)開發商(shang)、承包商(shang)和(he)其他定制軟(ruan)件(jian)開發商(shang)。為(wei)了(le)完成這項(xiang)任(ren)務(wu)，NIST更(geng)新了(le)其預先存在的安全(quan)軟(ruan)件(jian)開發框(kuang)架 (SSDF)，該框(kuang)架已經考慮了(le) EO 中包含的大部分相(xiang)關任(ren)務(wu)。

NIST 指出，其(qi)指導僅限于聯邦(bang)(bang)機(ji)構采(cai)購(gou)軟(ruan)(ruan)(ruan)件(jian)(jian)，其(qi)中(zhong)包(bao)括固(gu)件(jian)(jian)、操作系統(tong)、應(ying)用程(cheng)序和應(ying)用程(cheng)序服務（例(li)如(ru)基(ji)于云的(de)(de)軟(ruan)(ruan)(ruan)件(jian)(jian)），以(yi)及包(bao)含軟(ruan)(ruan)(ruan)件(jian)(jian)的(de)(de)產品。聯邦(bang)(bang)機(ji)構開發的(de)(de)軟(ruan)(ruan)(ruan)件(jian)(jian)超出范圍，聯邦(bang)(bang)機(ji)構免費直接獲得的(de)(de)開源(yuan)軟(ruan)(ruan)(ruan)件(jian)(jian)也是如(ru)此。由聯邦(bang)(bang)機(ji)構購(gou)買的(de)(de)軟(ruan)(ruan)(ruan)件(jian)(jian)捆綁(bang)、集成或以(yi)其(qi)他方式使用的(de)(de)開源(yuan)軟(ruan)(ruan)(ruan)件(jian)(jian)在范圍內(nei)。

根據(ju) EO 的(de)時間表，到(dao) 3 月(yue) 6 日，管理和預算辦公(gong)室(shi) (OMB) 必須采(cai)(cai)取適當(dang)措(cuo)施，要(yao)求各機構(gou)遵守有關在本命令發布(bu)(bu)之日后采(cai)(cai)購(gou)的(de)軟件的(de)此類指(zhi)南(nan)。到(dao) 2023 年 5 月(yue) 12 日，國土安(an)全部部長與(yu)國防部長、司法(fa)部長、OMB 主任(ren)和 OMB 內(nei)電子政(zheng)府(fu)辦公(gong)室(shi)的(de)行(xing)政(zheng)長官協(xie)(xie)商后，將(jiang)向聯邦采(cai)(cai)購(gou)監管局 (FAR ) 委(wei)員會協(xie)(xie)調(diao)政(zheng)府(fu)范圍內(nei)的(de)采(cai)(cai)購(gou)，合(he)同(tong)語言要(yao)求可供(gong)機構(gou)購(gou)買(mai)的(de)軟件供(gong)應商遵守并證明遵守根據(ju)這些指(zhi)南(nan)發布(bu)(bu)的(de)任(ren)何要(yao)求。

消費軟件的網絡安全標簽
NIST 上周發(fa)布的另一份文件(jian)是《消費軟件(jian)網絡(luo)安全(quan)標(biao)簽(qian)推薦標(biao)準》。EO 指示 NIST 與聯邦貿易(yi)委員會 (FTC) 和其他(ta)機(ji)構協調(diao)，啟動(dong)網絡(luo)安全(quan)標(biao)簽(qian)試(shi)點計劃。這些標(biao)簽(qian)計劃旨在教育公眾(zhong)了解軟件(jian)開發(fa)實踐的安全(quan)能力。

NIST 發布的(de)(de)(de)文件就計(ji)劃所(suo)有(you)者在標(biao)(biao)簽(qian)(qian)計(ji)劃中(zhong)的(de)(de)(de)作用、可(ke)以為標(biao)(biao)簽(qian)(qian)提(ti)供信息的(de)(de)(de)基(ji)線(xian)技術標(biao)(biao)準(zhun)(zhun)(zhun)、標(biao)(biao)簽(qian)(qian)呈(cheng)現標(biao)(biao)準(zhun)(zhun)(zhun)和合(he)格評定標(biao)(biao)準(zhun)(zhun)(zhun)提(ti)出了建議(yi)。本文檔還探討了軟件標(biao)(biao)簽(qian)(qian)的(de)(de)(de)消費者教育和可(ke)用性。

本文檔(dang)的目(mu)標是指導(dao)軟(ruan)(ruan)件(jian)提供(gong)商(shang)如何向消費者傳達“在(zai)軟(ruan)(ruan)件(jian)的生命周期(qi)中采用了安(an)全軟(ruan)(ruan)件(jian)開發的良好實(shi)踐，并(bing)且(qie)與安(an)全相關的軟(ruan)(ruan)件(jian)架構、功能和其他屬性遵循(xun)基線技術標準。 ”

消費物聯網產品的網絡安全標簽
EO 要求 NIST 為(wei)物聯網 (IoT) 產品的消費(fei)者標簽計(ji)劃(hua)制定標準(zhun)。根(gen)據 EO，“標準(zhun)應考慮此類(lei)消費(fei)者標簽計(ji)劃(hua)是否可(ke)以與符合適(shi)用(yong)法律的任何類(lei)似的現有(you)政府計(ji)劃(hua)一起運行或仿效。”

NIST 利用其(qi)在(zai)物聯網(wang)產品網(wang)絡安全(quan)方面的現有工作以及(ji)最近(jin)關于(yu)受感染物聯網(wang)產品及(ji)其(qi)漏洞的公開新聞報道，于(yu) 2021 年 8 月(yue)(yue) 31 日(ri)(ri)和(he) 12 月(yue)(yue) 3 日(ri)(ri)發布了(le)標準草案(an)版(ban)本。這些文件可在(zai) 9 月(yue)(yue) 14 日(ri)(ri)的研討會上供社區(qu)反(fan)饋和(he) 2021 年 12 月(yue)(yue) 9 日(ri)(ri)，并以書(shu)面形式提交。

基于(yu)(yu)這項活動，NIST 決定(ding)(ding)產品(pin)標(biao)準應(ying)該表達為結果，而不(bu)是(shi)關于(yu)(yu)如(ru)何實現(xian)它(ta)們(men)的(de)(de)具體陳述(shu)。此外，NIST 得出的(de)(de)結論是(shi)，鑒于(yu)(yu)這些基準標(biao)準適用(yong)于(yu)(yu)各種(zhong)產品(pin)的(de)(de)方式多種(zhong)多樣，沒有一種(zhong)單(dan)一的(de)(de)合(he)(he)格評定(ding)(ding)方法是(shi)合(he)(he)適的(de)(de)。最后，NIST 確定(ding)(ding)單(dan)個二元標(biao)簽（例如(ru)批準印章(zhang)）表明產品(pin)符合(he)(he)基線標(biao)準可能是(shi)最合(he)(he)適的(de)(de)，再加上一種(zhong)分(fen)層方法，可以引導感興趣的(de)(de)消費者在線獲取更多詳細信息。

消費者網絡安全標簽試點：方法和反饋
最后，NIST 公布(bu)了其關于如何(he)在軟(ruan)件和物聯網(wang)標(biao)簽上(shang)開展試點項(xiang)目的(de)(de)想法，并(bing)考慮到它已(yi)經闡明的(de)(de)標(biao)準(zhun)。EO 指示 NIST “根據公布(bu)的(de)(de)標(biao)準(zhun)進(jin)行(xing)試點，并(bing)在命令發布(bu)之日起一年內(nei)對試點計(ji)劃(hua)進(jin)行(xing)審(shen)查，與私營部門和相(xiang)關機(ji)構協商(shang)，以評估(gu)計(ji)劃(hua)的(de)(de)有效性，確(que)定(ding)什么可以繼續改(gai)進(jin)，并(bing)提交總結報告(gao)。”

NIST 已確(que)定它不會設計特定標(biao)(biao)簽作為(wei)試點(dian)的(de)一部(bu)分(fen)。相反，該試點(dian)項目將由 NIST 組成(cheng)，尋求利益相關者對消(xiao)費物聯網產品(pin)和消(xiao)費軟件當前或未來潛在的(de)標(biao)(biao)簽工作以及(ji)這些工作如何(he)與(yu) NIST 建議保持一致的(de)貢獻。

為此，NIST 正(zheng)在(zai)尋求對(dui)試(shi)點項目(mu)的貢獻(xian)，并尋求有(you)關現有(you)標(biao)簽方案(an)是(shi)(shi)否符合 NIST 建(jian)議(yi)的信息，以及目(mu)前不運營標(biao)簽方案(an)的組織是(shi)(shi)否有(you)興(xing)趣根據 NIST 建(jian)議(yi)建(jian)立新(xin)項目(mu)等話(hua)題。對(dui)試(shi)點的貢獻(xian)必須在(zai) 2022 年 3 月 15 日之(zhi)前提交。

這是“非常深”的東西
應用(yong)安全(quan)公司 Veracode 的(de)聯合創始人兼首席技術官 Chris Wysopal 稱贊 NIST 在總(zong)結大量(liang)文件中的(de)大量(liang)密集信息方(fang)(fang)面的(de)敏捷性。“我認為他們在總(zong)結方(fang)(fang)面做得(de)很好(hao)，但內容非常(chang)深刻，”他告訴(su) CSO。“人們將不得(de)不閱讀(du)大量(liang)內容，以了解作為供應商的(de)要求。”

他(ta)特別贊揚 NIST 對(dui) SSDF 的(de)更(geng)新(xin)考慮到了(le)軟件(jian)的(de)構建者(zhe)和用戶。“這不僅僅是純(chun)粹面向供應商的(de)。這是有道(dao)理的(de)，因為當您談論(lun)安全性時(shi)，有人(ren)(ren)在(zai)銷售(shou)技(ji)術，然后有人(ren)(ren)在(zai)操作(zuo)它。該等(deng)式的(de)兩個部分都需要了(le)解對(dui)方做了(le)什么以及期(qi)望是什么。建設者(zhe)和運營者(zhe)都在(zai)同一個框架下(xia)工作(zuo)很(hen)有意義。”

Wysopal 的(de)(de)一項批評(ping)與(yu)軟件開發人員如何證(zheng)明(ming)符合安全軟件實踐有關。“我(wo)不太(tai)喜歡的(de)(de)一點是，他們似(si)乎認為(wei)很多此類(lei)證(zheng)明(ming)可以在(zai)產品(pin)線(xian)級(ji)別(bie)或公司級(ji)別(bie)完(wan)成，而(er)不是在(zai)您(nin)購買的(de)(de)特(te)定產品(pin)上(shang)完(wan)成。”

“很多時候，當(dang)推出新產品或收購小供應(ying)商時，它會被重新命名并包含在該公司的(de)產品中，這些(xie)產品幾乎(hu)沒有更(geng)成熟(shu)產品的(de)嚴謹性。我認為(wei)我們不想把這兩件事混為(wei)一談。”
返回列(lie)表

美國國家標準與技術研究院 NIST發布軟件、物聯網和消費者網絡安全標簽指南

關注微信公眾號

熱門資訊