政府機構使用的系統,理論上需要最高的安全性,加上現在供應鏈攻擊肆虐,美國政府之前就發佈新規定,要求公營機構就所使用的軟件提供安全認證,不過由於供應商未能及時提供相關文件,令期限需要延遲。
美國聯邦政府要求公營機構在今年 9 月 14 日前針對所使用的軟件提供安全認證,這些認證應該由軟件供應商所提供,證明軟件符合國家標準暨技術研究院 (NIST) 的安全軟件開發框架。不過由於供應商遲遲未能配合,最近行政管理和預算局就發出備忘錄,將期限推遲。
同一時間,網路安全暨基礎設施安全局 (CISA) 亦正在草擬通用證明表格,讓供應商更容易提供合規證明,這個表格在 4 月擬定草案,目前仍未完成諮詢階段。軟件開發商 Chainguard 總裁 Dan Lorenc 表示,延長期限讓他們和公營機構都鬆一口氣,現在他們仍在了解相關的要求,確保軟件合規並足夠安全,同時平衡生產力和創新。
公營機構方面除了需要確認現在系統中採用了什麼軟件外,對於開源軟件也需要嚴格審查。隨着軟件越來越複雜,使用了開源和第三方組件,逐一分析審查也是個相當耗時的工序,但為了確保不受供應鏈攻擊,看來也是無可避免。
來源:The Register