在SolarWinds软件供应链攻击之后,MITER专家建议建立软件供应链完整性的端到端框架。
如果软件开发社区和较大的信息技术生态系统采取的一系列动作可以显着降低软件供应链攻击中妥协,开发,剥离或破坏的风险。
尽管不存在银弹,但建立和实施软件供应链完整性的端到端框架将降低来自私营部门企业,政府和他们依赖的关键能力的核心应用程序的风险每天。
当前软件供应链安全性的实践状态缺乏系统的完整性。没有足够的可互操作工具来防止,检测或补救软件供应链攻击,这些供应超出了可用于一般网络安全威胁的工具。鉴于软件供应链攻击的潜在影响,我们不能将它们视为另一个网络安全漏洞。
在本文中,我们建议开发以下框架来加强软件供应链的完整性:
- 软件行业必须采用标准可扩展的,可互操作的软件材料清单(SBOM)基于基于的供应链元数据方法,该方法可以跟踪软件产品中每个组件的组成和出处,为每个软件组件及其谱系提供元数据完整性,并使用并使用其元数据,并使用该元数据系统地表征和管理风险。
- 加密代码签名和相关验证基础架构需要成熟,以反映当今软件供应链的复杂性和多样性,并为快速部署预期的新标准用于量词后数字签名。
- 涉及构建和分销软件和软件更新的系统至少必须满足更高级别的保证,例如国家标准技术研究所(NIST)特别出版物(SP)800-53 Rev 5。
NIST应更新其现有的供应链标准NIST SP 800-161,以包括此框架。
美国(美国)联邦政府应要求该框架由供应商,第二或第三方经销商和集成商在获取服务和供应时实施,并将此框架作为选择适当的值得信赖的供应商,供应和服务,服务,服务,服务,服务,服务,服务和服务的一部分。。例如,国防部的网络安全成熟度模型认证(CMMC)计划应包括将此框架用作其标准的一部分。
长期的行业标准(例如国际标准化组织(ISO)270016)应更新以包括此框架。