国产一区二区三区黄网站_日韩综合无码视频一区二区三区_日本无乱码高清在线电影_最新天堂中文版在线_免费黄色网址在线播放_99这里有精品免费视频20_五月丁香婷婷综合水蜜桃_8x在线成人电影_国产精品91视频_亚洲欧美另类一区二区

美國國家標準與技術研究院 NIST發(fā)布軟件、物聯(lián)網(wǎng)和消費者網(wǎng)絡安全標簽指南

來源: | 2022-03-03
2 月 4 日,美國國家標準與技術研究院 (NIST) 發(fā)布了幾份文件和更新,闡明了軟件安全指南,并推薦了軟件和物聯(lián)網(wǎng)設備的消費者標簽做法。NIST 還制定了消費者網(wǎng)絡安全標簽項目的方法。


這些舉措是米國拜*登總*統(tǒng)去年 5 月發(fā)布的廣泛行政命令 (EO)授權(quán)的。他們的目標是收緊聯(lián)邦政府對其購買的軟件產(chǎn)品的安全要求,希望這些好處也能流向私營部門。標簽計劃旨在讓消費者更深入地了解他們購買的軟件和設備的安全性,并提高消費者軟件和物聯(lián)網(wǎng)設備制造商的透明度。

軟件供應鏈安全指南和更新的 SSDF
第一份文件闡明了如何按照 EO 的指示加強軟件供應鏈的安全性。該指南遵循 NIST 為滿足 EO 的最后期限而開展的一系列活動,包括從社區(qū)征求立場文件、在 6 月舉辦虛擬研討會和在 11 月舉辦第二次虛擬研討會、與其他聯(lián)邦機構(gòu)協(xié)商并審查現(xiàn)有的聯(lián)邦指南。

該命令要求 NIST 為負有軟件采購相關職責的聯(lián)邦機構(gòu)工作人員提供指導,旨在幫助聯(lián)邦機構(gòu)工作人員了解軟件生產(chǎn)商需要哪些信息來了解他們的安全軟件開發(fā)實踐。新的 NIST 文件闡明了聯(lián)邦機構(gòu)在獲取軟件或包含軟件的產(chǎn)品時應遵循的最低建議。

該命令還指示 NIST 為軟件生產(chǎn)商定義行動或結(jié)果,例如商業(yè)現(xiàn)貨 (COTS) 產(chǎn)品供應商、政府現(xiàn)貨軟件開發(fā)商、承包商和其他定制軟件開發(fā)商。為了完成這項任務,NIST更新了其預先存在的安全軟件開發(fā)框架 (SSDF),該框架已經(jīng)考慮了 EO 中包含的大部分相關任務。

NIST 指出,其指導僅限于聯(lián)邦機構(gòu)采購軟件,其中包括固件、操作系統(tǒng)、應用程序和應用程序服務(例如基于云的軟件),以及包含軟件的產(chǎn)品。聯(lián)邦機構(gòu)開發(fā)的軟件超出范圍,聯(lián)邦機構(gòu)免費直接獲得的開源軟件也是如此。由聯(lián)邦機構(gòu)購買的軟件捆綁、集成或以其他方式使用的開源軟件在范圍內(nèi)。

根據(jù) EO 的時間表,到 3 月 6 日,管理和預算辦公室 (OMB) 必須采取適當措施,要求各機構(gòu)遵守有關在本命令發(fā)布之日后采購的軟件的此類指南。到 2023 年 5 月 12 日,國土安全部部長與國防部長、司法部長、OMB 主任和 OMB 內(nèi)電子政府辦公室的行政長官協(xié)商后,將向聯(lián)邦采購監(jiān)管局 (FAR ) 委員會協(xié)調(diào)政府范圍內(nèi)的采購,合同語言要求可供機構(gòu)購買的軟件供應商遵守并證明遵守根據(jù)這些指南發(fā)布的任何要求。 

消費軟件的網(wǎng)絡安全標簽
NIST 上周發(fā)布的另一份文件是《消費軟件網(wǎng)絡安全標簽推薦標準》。EO 指示 NIST 與聯(lián)邦貿(mào)易委員會 (FTC) 和其他機構(gòu)協(xié)調(diào),啟動網(wǎng)絡安全標簽試點計劃。這些標簽計劃旨在教育公眾了解軟件開發(fā)實踐的安全能力。

NIST 發(fā)布的文件就計劃所有者在標簽計劃中的作用、可以為標簽提供信息的基線技術標準、標簽呈現(xiàn)標準和合格評定標準提出了建議。本文檔還探討了軟件標簽的消費者教育和可用性。

本文檔的目標是指導軟件提供商如何向消費者傳達“在軟件的生命周期中采用了安全軟件開發(fā)的良好實踐,并且與安全相關的軟件架構(gòu)、功能和其他屬性遵循基線技術標準。 ”

消費物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡安全標簽
EO 要求 NIST 為物聯(lián)網(wǎng) (IoT) 產(chǎn)品的消費者標簽計劃制定標準。根據(jù) EO,“標準應考慮此類消費者標簽計劃是否可以與符合適用法律的任何類似的現(xiàn)有政府計劃一起運行或仿效?!?/span>

NIST 利用其在物聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡安全方面的現(xiàn)有工作以及最近關于受感染物聯(lián)網(wǎng)產(chǎn)品及其漏洞的公開新聞報道,于 2021 年 8 月 31 日和 12 月 3 日發(fā)布了標準草案版本。這些文件可在 9 月 14 日的研討會上供社區(qū)反饋和 2021 年 12 月 9 日,并以書面形式提交。

基于這項活動,NIST 決定產(chǎn)品標準應該表達為結(jié)果,而不是關于如何實現(xiàn)它們的具體陳述。此外,NIST 得出的結(jié)論是,鑒于這些基準標準適用于各種產(chǎn)品的方式多種多樣,沒有一種單一的合格評定方法是合適的。最后,NIST 確定單個二元標簽(例如批準印章)表明產(chǎn)品符合基線標準可能是最合適的,再加上一種分層方法,可以引導感興趣的消費者在線獲取更多詳細信息。

消費者網(wǎng)絡安全標簽試點:方法和反饋
最后,NIST 公布了其關于如何在軟件和物聯(lián)網(wǎng)標簽上開展試點項目的想法,并考慮到它已經(jīng)闡明的標準。EO 指示 NIST “根據(jù)公布的標準進行試點,并在命令發(fā)布之日起一年內(nèi)對試點計劃進行審查,與私營部門和相關機構(gòu)協(xié)商,以評估計劃的有效性,確定什么可以繼續(xù)改進,并提交總結(jié)報告。”

NIST 已確定它不會設計特定標簽作為試點的一部分。相反,該試點項目將由 NIST 組成,尋求利益相關者對消費物聯(lián)網(wǎng)產(chǎn)品和消費軟件當前或未來潛在的標簽工作以及這些工作如何與 NIST 建議保持一致的貢獻。

為此,NIST 正在尋求對試點項目的貢獻,并尋求有關現(xiàn)有標簽方案是否符合 NIST 建議的信息,以及目前不運營標簽方案的組織是否有興趣根據(jù) NIST 建議建立新項目等話題。對試點的貢獻必須在 2022 年 3 月 15 日之前提交。

這是“非常深”的東西
應用安全公司 Veracode 的聯(lián)合創(chuàng)始人兼首席技術官 Chris Wysopal 稱贊 NIST 在總結(jié)大量文件中的大量密集信息方面的敏捷性?!拔艺J為他們在總結(jié)方面做得很好,但內(nèi)容非常深刻,”他告訴 CSO?!叭藗儗⒉坏貌婚喿x大量內(nèi)容,以了解作為供應商的要求?!?/span>

他特別贊揚 NIST 對 SSDF 的更新考慮到了軟件的構(gòu)建者和用戶?!斑@不僅僅是純粹面向供應商的。這是有道理的,因為當您談論安全性時,有人在銷售技術,然后有人在操作它。該等式的兩個部分都需要了解對方做了什么以及期望是什么。建設者和運營者都在同一個框架下工作很有意義?!?/span>

Wysopal 的一項批評與軟件開發(fā)人員如何證明符合安全軟件實踐有關?!拔也惶矚g的一點是,他們似乎認為很多此類證明可以在產(chǎn)品線級別或公司級別完成,而不是在您購買的特定產(chǎn)品上完成?!?/span>

“很多時候,當推出新產(chǎn)品或收購小供應商時,它會被重新命名并包含在該公司的產(chǎn)品中,這些產(chǎn)品幾乎沒有更成熟產(chǎn)品的嚴謹性。我認為我們不想把這兩件事混為一談?!?/span>
返回列表
關注微信公眾號

熱門資訊