全球观点：美国政府发布《面向客户的软件供应链安全实践指南》

【资料图】

美国网络安全和基础设施安全局（CISA）、国家安全局 (NSA) 和国家情报总监办公室 (ODNI) 发布了关于保护软件供应链安全的最后一篇指南《软件供应链安全客户实践建议指南》，前两篇指南分别针对的是开发人员和供应商。

《软件供应链安全客户实践指南》提出了客户在购买、部署和使用软件时应该遵循的实践，并提供了相关攻击场景和缓解措施。

关于软件采购，这三家机构建议注意所在组织机构的需求，包括安全和供应链风险管理 (SCRM) 活动、执行产品评估如评估BOM以及在签署合同前对供应商进行评估。这样做将有助于缓解与所采购产品相关的风险：产品不满足需求、受漏洞影响或遭篡改、或与受外国控制的或安全治理不良的供应商签订合同等。

对于软件部署，该指南建议客户在收到产品时进行全面检查、执行功能测试并从安全角度验证产品、设立负责产品生命周期的配置控制委员会、确保产品与现有环境集成以及监控更新等。

这些部署控制可消除多种风险如被替代或不完整的产品、功能中的异常变更、使用未经验证的组件、出现恶意软件或恶意功能、发生数据泄露、基础设施被攻陷、产品报告不完整、出现支持问题、集成评估不完整或错误以及存在潜在的恶意或受陷更新等。

该指南建议组织机构正确处理已达生命周期的或已被弃用的产品，并确保为新产品执行新的有效培训计划。

另外，指南建议软件客户了解产品的运营方式，确保找到漏洞和功能变更问题、及时应用更新、在组织机构受害前消除恶意软件。

原文链接：

https://www.securityweek.com/us-gov-issues-software-supply-chain-security-guidance-customers

标签： 组织机构 恶意软件 基础设施