通过合同分包代码编写工作、从开源代码库下载组件或直接重用现有软件代码是软件厂商的常见做法,但美国防部非常担忧这种循环使用既有代码的做法可能会引入漏洞和后门风险,因此该部正在计划购买可追溯其所采购软件之代码出处的工具。美国防部副首席信息官、前美国安局(NSA)及美国陆军官员米歇尔.埃沃森(Michele Iversen)11月12日在CyberCon会议上指出,她希望在2020财年内开展针对若干主要采购项目的软件供应链监管试点工作,但因为目前正处于“持续性决议(Continuing Resolution,指美国会正在拉锯的财年预算法案)”期间,因此在最终获得拨款前是否开展此类试点仍有不确定性。

埃沃森指出,美国防部期望获得的软件供应链监管工具将用于支持美国防部各部门的采购决策,为用户单位解答其在商业市场上所购买软件代码是否可靠的问题。她指出她之前曾与下属一起进行了整日的市场分析、与潜在厂商进行会面,但仍至今尚未找到可对软件供应链各层次开展穿透式监管的理想工具。

埃沃森指出,目前可利用公开信息进行软件厂商尽职调查的商业细分市场正在加速形成,由于这些工具使用的都是公开信息,因此其对特定软件供应链的审查结果可在不违反美国防部现有安全保密规定的前提下自由分发给用户。埃沃森表示她已看到美国防部的某些项目办公室自行购买了此类服务,但由于受限的预算、人力和时间因素,美国防部用户都无法独立承担高端软件审查服务的费用,因此她计划推动美国防部首席信息官办公室牵头,采用“竞争性谈判”的形式采购一个或多个市场领先的软件审查服务,而后按需地向美国防部用户提供审查结果,而不是由美国防部用户各自分别购买相同的服务。

埃沃森最后表示,美国防部不同项目对于风险应当有不同的容忍度,而同个项目的不同功能也可能要求更大更高的安全性,“如果俄罗斯或中国黑客通过软件供应链入侵美国防部的旅游管理APP,这是件坏事,但其危害程度远不如他国黑客渗透了控制美国卫星和核武库的供应链”。

https://breakingdefense.com/2019/11/dod-asks-who-really-wrote-your-code/

声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。