![]()
本期从突出重点、找准抓手2个方面为您介绍美国在开源软件安全治理中的有关政策。突出重点:抓住“联邦政府和关键基础设施”与“开源软件生态系统”2个重点
一方面,注重保护联邦政府和关键基础设施中的开源软件安全。由于联邦政府和关键基础设施的网络安全在美国国家网络防御中占据特殊地位,美国聚焦保护联邦政府和关键基础设施中的开源软件安全。为此,美国为保护联邦政府和关键基础设施网络安全的主责机构CISA赋予重要职责,在国家网络总监办公室的总体协调下,由CISA主导开源安全的战略规划、实施路线图、相关指南文件和白皮书的制定,以及推动软件物料清单(SBOM)、软件设计安全和默认安全、供应链风险管理和内存安全编程语言的广泛采用等各项工作,力求最大限度降低联邦政府和关键基础设施面临的开源软件安全风险。另一方面,注重提升开源软件生态系统的整体安全性。联邦政府和关键基础设施中使用的开源软件是整个开源软件生态系统不可分割的一部分,美国希望在加强联邦政府和关键基础设施开源软件安全的同时,带动提升广泛的开源软件生态系统的安全性,帮助开源社区建立可持续的风险治理模型,反过来提高联邦政府和关键基础设施的安全和韧性。找准抓手:确定资产梳理、软件物料清单、设计安全3个抓手事项
开源软件安全治理是一项复杂的系统性工程,涉及管理、技术、实施、合作等方方面面,美国为推动该项工作的高效落地,确定了以下3个方面抓手事项。一是梳理开源软件使用情况提高风险可见性。开源软件安全治理的第一步就是摸清家底,解决开源软件“有哪些”“谁在用”的问题。美国也将此作为重要抓手,由CISA牵头明确支持联邦政府和重要基础设施关键功能的开源软件库,通过借助CDM等项目提供的数据源和构建依赖关系自动化分析能力,获取应用系统和开源软件之间依赖关系,掌握联邦政府和关键基础设施中应用了哪些开源软件,并据此进行风险优先级排序和关键开源软件依赖项的持续风险评估。二是大力推动软件物料清单建设,以促进软件供应链风险精准管理。SBOM是软件安全和软件供应链风险管理的关键组成部分。自2018年以来,SBOM工作在美国国家电信和信息管理局(NTIA)等多方推动和第14028号行政令的要求下,已逐渐在业界得到广泛认可和应用。目前,美国正大力推动SBOM的进一步完善和标准化建设,比如漏洞可利用性数据交换(VEX)作为“辅助工具”助力SBOM实施管理漏洞,或推动建立统一有效的软件识别生态系统,采用在开源软件中原生注入身份标识(ID)的方式,提升软件识别的准确率和效率,以促进更广泛、更有效地采用SBOM。三是推进设计安全和默认安全原则及方法的采用。为推动从源头上解决不安全技术给软件带来的安全问题,美国积极呼吁科技行业采用设计安全和默认安全的原则和方法,并将其纳入《国家网络安全战略》中。目前,CISA已牵头发布两版指南文件,敦促软件制造商将安全性集成到其产品设计的最早阶段,采用内存安全编程语言,并确保公司有最高管理层的支持来优先考虑产品安全。这其中重要的一点是推动开源社区采用用于操作系统内核(Rust)、用于网络服务器(Go)等内存安全编程语言,放弃C和C++等内存不安全语言。据白宫国家网络安全助理主任Rajan称,使用内存安全编程语言编写的软件可以消除软件中70%的关键漏洞。
【摘编自《保密科学技术》2024年3月刊《美国开源软件安全治理研究》一文,作者:高红静、苏力、王盈】
