中文字幕久久精品一区二区三区,亚洲av高清在线观看一区二区 ,国产日韩欧美

2 月 4 日，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 發(fā)布了幾份文件和更新，闡明了軟件安全指南，并推薦了軟件和物聯(lián)網(wǎng)設(shè)備的消費(fèi)者標(biāo)簽做法。NIST 還制定了消費(fèi)者網(wǎng)絡(luò)安全標(biāo)簽項(xiàng)目的方法。

這些舉措是米國(guó)拜*登總*統(tǒng)去年 5 月發(fā)布的廣泛行政命令 (EO)授權(quán)的。他們的目標(biāo)是收緊聯(lián)邦政府對(duì)其購(gòu)買的軟件產(chǎn)品的安全要求，希望這些好處也能流向私營(yíng)部門。標(biāo)簽計(jì)劃旨在讓消費(fèi)者更深入地了解他們購(gòu)買的軟件和設(shè)備的安全性，并提高消費(fèi)者軟件和物聯(lián)網(wǎng)設(shè)備制造商的透明度。

軟件供應(yīng)鏈安全指南和更新的 SSDF
第一份文件闡明了如何按照 EO 的指示加強(qiáng)軟件供應(yīng)鏈的安全性。該指南遵循 NIST 為滿足 EO 的最后期限而開展的一系列活動(dòng)，包括從社區(qū)征求立場(chǎng)文件、在 6 月舉辦虛擬研討會(huì)和在 11 月舉辦第二次虛擬研討會(huì)、與其他聯(lián)邦機(jī)構(gòu)協(xié)商并審查現(xiàn)有的聯(lián)邦指南。

該命令要求 NIST 為負(fù)有軟件采購(gòu)相關(guān)職責(zé)的聯(lián)邦機(jī)構(gòu)工作人員提供指導(dǎo)，旨在幫助聯(lián)邦機(jī)構(gòu)工作人員了解軟件生產(chǎn)商需要哪些信息來了解他們的安全軟件開發(fā)實(shí)踐。新的 NIST 文件闡明了聯(lián)邦機(jī)構(gòu)在獲取軟件或包含軟件的產(chǎn)品時(shí)應(yīng)遵循的最低建議。

該命令還指示 NIST 為軟件生產(chǎn)商定義行動(dòng)或結(jié)果，例如商業(yè)現(xiàn)貨 (COTS) 產(chǎn)品供應(yīng)商、政府現(xiàn)貨軟件開發(fā)商、承包商和其他定制軟件開發(fā)商。為了完成這項(xiàng)任務(wù)，NIST更新了其預(yù)先存在的安全軟件開發(fā)框架 (SSDF)，該框架已經(jīng)考慮了 EO 中包含的大部分相關(guān)任務(wù)。

NIST 指出，其指導(dǎo)僅限于聯(lián)邦機(jī)構(gòu)采購(gòu)軟件，其中包括固件、操作系統(tǒng)、應(yīng)用程序和應(yīng)用程序服務(wù)（例如基于云的軟件），以及包含軟件的產(chǎn)品。聯(lián)邦機(jī)構(gòu)開發(fā)的軟件超出范圍，聯(lián)邦機(jī)構(gòu)免費(fèi)直接獲得的開源軟件也是如此。由聯(lián)邦機(jī)構(gòu)購(gòu)買的軟件捆綁、集成或以其他方式使用的開源軟件在范圍內(nèi)。

根據(jù) EO 的時(shí)間表，到 3 月 6 日，管理和預(yù)算辦公室 (OMB) 必須采取適當(dāng)措施，要求各機(jī)構(gòu)遵守有關(guān)在本命令發(fā)布之日后采購(gòu)的軟件的此類指南。到 2023 年 5 月 12 日，國(guó)土安全部部長(zhǎng)與國(guó)防部長(zhǎng)、司法部長(zhǎng)、OMB 主任和 OMB 內(nèi)電子政府辦公室的行政長(zhǎng)官協(xié)商后，將向聯(lián)邦采購(gòu)監(jiān)管局 (FAR ) 委員會(huì)協(xié)調(diào)政府范圍內(nèi)的采購(gòu)，合同語言要求可供機(jī)構(gòu)購(gòu)買的軟件供應(yīng)商遵守并證明遵守根據(jù)這些指南發(fā)布的任何要求。

消費(fèi)軟件的網(wǎng)絡(luò)安全標(biāo)簽
NIST 上周發(fā)布的另一份文件是《消費(fèi)軟件網(wǎng)絡(luò)安全標(biāo)簽推薦標(biāo)準(zhǔn)》。EO 指示 NIST 與聯(lián)邦貿(mào)易委員會(huì) (FTC) 和其他機(jī)構(gòu)協(xié)調(diào)，啟動(dòng)網(wǎng)絡(luò)安全標(biāo)簽試點(diǎn)計(jì)劃。這些標(biāo)簽計(jì)劃旨在教育公眾了解軟件開發(fā)實(shí)踐的安全能力。

NIST 發(fā)布的文件就計(jì)劃所有者在標(biāo)簽計(jì)劃中的作用、可以為標(biāo)簽提供信息的基線技術(shù)標(biāo)準(zhǔn)、標(biāo)簽呈現(xiàn)標(biāo)準(zhǔn)和合格評(píng)定標(biāo)準(zhǔn)提出了建議。本文檔還探討了軟件標(biāo)簽的消費(fèi)者教育和可用性。

本文檔的目標(biāo)是指導(dǎo)軟件提供商如何向消費(fèi)者傳達(dá)“在軟件的生命周期中采用了安全軟件開發(fā)的良好實(shí)踐，并且與安全相關(guān)的軟件架構(gòu)、功能和其他屬性遵循基線技術(shù)標(biāo)準(zhǔn)。 ”

消費(fèi)物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標(biāo)簽
EO 要求 NIST 為物聯(lián)網(wǎng) (IoT) 產(chǎn)品的消費(fèi)者標(biāo)簽計(jì)劃制定標(biāo)準(zhǔn)。根據(jù) EO，“標(biāo)準(zhǔn)應(yīng)考慮此類消費(fèi)者標(biāo)簽計(jì)劃是否可以與符合適用法律的任何類似的現(xiàn)有政府計(jì)劃一起運(yùn)行或仿效?！?/span>

NIST 利用其在物聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全方面的現(xiàn)有工作以及最近關(guān)于受感染物聯(lián)網(wǎng)產(chǎn)品及其漏洞的公開新聞報(bào)道，于 2021 年 8 月 31 日和 12 月 3 日發(fā)布了標(biāo)準(zhǔn)草案版本。這些文件可在 9 月 14 日的研討會(huì)上供社區(qū)反饋和 2021 年 12 月 9 日，并以書面形式提交。

基于這項(xiàng)活動(dòng)，NIST 決定產(chǎn)品標(biāo)準(zhǔn)應(yīng)該表達(dá)為結(jié)果，而不是關(guān)于如何實(shí)現(xiàn)它們的具體陳述。此外，NIST 得出的結(jié)論是，鑒于這些基準(zhǔn)標(biāo)準(zhǔn)適用于各種產(chǎn)品的方式多種多樣，沒有一種單一的合格評(píng)定方法是合適的。最后，NIST 確定單個(gè)二元標(biāo)簽（例如批準(zhǔn)印章）表明產(chǎn)品符合基線標(biāo)準(zhǔn)可能是最合適的，再加上一種分層方法，可以引導(dǎo)感興趣的消費(fèi)者在線獲取更多詳細(xì)信息。

消費(fèi)者網(wǎng)絡(luò)安全標(biāo)簽試點(diǎn)：方法和反饋
最后，NIST 公布了其關(guān)于如何在軟件和物聯(lián)網(wǎng)標(biāo)簽上開展試點(diǎn)項(xiàng)目的想法，并考慮到它已經(jīng)闡明的標(biāo)準(zhǔn)。EO 指示 NIST “根據(jù)公布的標(biāo)準(zhǔn)進(jìn)行試點(diǎn)，并在命令發(fā)布之日起一年內(nèi)對(duì)試點(diǎn)計(jì)劃進(jìn)行審查，與私營(yíng)部門和相關(guān)機(jī)構(gòu)協(xié)商，以評(píng)估計(jì)劃的有效性，確定什么可以繼續(xù)改進(jìn)，并提交總結(jié)報(bào)告?！?/span>

NIST 已確定它不會(huì)設(shè)計(jì)特定標(biāo)簽作為試點(diǎn)的一部分。相反，該試點(diǎn)項(xiàng)目將由 NIST 組成，尋求利益相關(guān)者對(duì)消費(fèi)物聯(lián)網(wǎng)產(chǎn)品和消費(fèi)軟件當(dāng)前或未來潛在的標(biāo)簽工作以及這些工作如何與 NIST 建議保持一致的貢獻(xiàn)。

為此，NIST 正在尋求對(duì)試點(diǎn)項(xiàng)目的貢獻(xiàn)，并尋求有關(guān)現(xiàn)有標(biāo)簽方案是否符合 NIST 建議的信息，以及目前不運(yùn)營(yíng)標(biāo)簽方案的組織是否有興趣根據(jù) NIST 建議建立新項(xiàng)目等話題。對(duì)試點(diǎn)的貢獻(xiàn)必須在 2022 年 3 月 15 日之前提交。

這是“非常深”的東西
應(yīng)用安全公司 Veracode 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Chris Wysopal 稱贊 NIST 在總結(jié)大量文件中的大量密集信息方面的敏捷性?！拔艺J(rèn)為他們?cè)诳偨Y(jié)方面做得很好，但內(nèi)容非常深刻，”他告訴 CSO?！叭藗儗⒉坏貌婚喿x大量?jī)?nèi)容，以了解作為供應(yīng)商的要求?！?/span>

他特別贊揚(yáng) NIST 對(duì) SSDF 的更新考慮到了軟件的構(gòu)建者和用戶?！斑@不僅僅是純粹面向供應(yīng)商的。這是有道理的，因?yàn)楫?dāng)您談?wù)摪踩詴r(shí)，有人在銷售技術(shù)，然后有人在操作它。該等式的兩個(gè)部分都需要了解對(duì)方做了什么以及期望是什么。建設(shè)者和運(yùn)營(yíng)者都在同一個(gè)框架下工作很有意義?！?/span>

Wysopal 的一項(xiàng)批評(píng)與軟件開發(fā)人員如何證明符合安全軟件實(shí)踐有關(guān)?！拔也惶矚g的一點(diǎn)是，他們似乎認(rèn)為很多此類證明可以在產(chǎn)品線級(jí)別或公司級(jí)別完成，而不是在您購(gòu)買的特定產(chǎn)品上完成?！?/span>

“很多時(shí)候，當(dāng)推出新產(chǎn)品或收購(gòu)小供應(yīng)商時(shí)，它會(huì)被重新命名并包含在該公司的產(chǎn)品中，這些產(chǎn)品幾乎沒有更成熟產(chǎn)品的嚴(yán)謹(jǐn)性。我認(rèn)為我們不想把這兩件事混為一談?！?/span>
返回列表

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 NIST發(fā)布軟件、物聯(lián)網(wǎng)和消費(fèi)者網(wǎng)絡(luò)安全標(biāo)簽指南

關(guān)注微信公眾號(hào)

熱門資訊

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 NIST發(fā)布軟件、物聯(lián)網(wǎng)和消費(fèi)者網(wǎng)絡(luò)安全標(biāo)簽指南