前情回顾·美国政府网络安全动态
安全内参1月29日消息,美国白宫撤销了2022年发布的一项命令。该命令要求联邦机构使用单一、标准化的自我证明表格,从软件供应商获取它们的网络安全保障情况信息。白宫表示,这一政策妨碍了各机构根据自身系统需求采用合适的安全解决方案。
1月26日,白宫管理与预算办公室(OMB)发布M-26-05《采用基于风险的软件和硬件安全方法》备忘录称,“不存在一种通用的方法能实现这一目标。每个机构都应该运用安全开发原则,并基于全面的风险评估,来验证供应商的安全性。”
美国前总统乔·拜登于2021年5月签署了具有里程碑意义的第14028号行政令,推动了最初备忘录的发布。行政令旨在回应大规模的太阳风(SolarWinds)入侵行动,该行动导致多个联邦机构遭到破坏。
软件证明通常是由供应商出具的一份声明,用于说明在构建某一软件产品时所采用的安全控制措施和开发实践。它可以帮助政府客户了解其在供应链风险方面的暴露情况,并在漏洞或入侵事件发生时明确责任归属。
OMB发布的新备忘录称,这一“未经验证且负担沉重”的流程“分散了各机构制定定制化软件保障要求的精力,并且未能考虑不安全硬件所带来的威胁”。
备忘录还指出,各机构仍应保持完整的软件和硬件清单,并制定与其风险判定和任务需求相匹配的软件和硬件保障政策与流程。
文件指出,各机构仍可使用在拜登时期备忘录下制定的政府范围内的软件证明表格,但“也可以选择采用合同条款,要求软件生产商在提出请求时提供最新的软件物料清单(SBOM)”。
软件物料清单(SBOM)相当于一份软件配方清单,用于列出软件在开发和部署过程中所使用的各类组件,并可帮助网络防御人员洞察产品中存在漏洞或已被入侵的部分。
美国云安全公司Wiz全球公共事务负责人、白宫首席信息官办公室前主任迈克尔·克拉齐奥斯表示:“通过鼓励一种按需推荐SBOM的现代化做法,白宫正顺应软件具有动态性、始终处于变化之中的现实。这是在现代软件时代应对安全问题的一种明智做法。”
参考资料:https://www.nextgov.com/cybersecurity/2026/01/omb-reverses-biden-era-software-attestation-order/410939/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
