1引言2021年5月,美国总统拜登发布了第14028号行政令《增强国家网络安全》(以下简称行政令)[1]。该行政令的第4节是“增强软件供应链安全”。这可称为其近年来关于软件供应链安全的一整套战略部署,代表着美国政府对供应链安全的最新思考。本文主要对其行政令中部署的相关工作进行【摘要】面对供应链安全威胁持续上升的形势,美国通过总统行政令对软件供应链安全做了整体部署。2022年,各项工作均先后推进到了重要节点,取得了一系列标志性成果。本文对相关工作进展和具体成果进行了跟踪研究,并借鉴美国经验对我国供应链安全工作提出了建议。【关键词】网络安全供应链软件安全【中图分类号】TP393.08;D771.2【文献标识码】A跟踪研究,并提出我国的应对策略。2第14028号行政令对软件供应链安全主要要求行政令第4节“增强软件供应链安全”提出,联邦政府使用的软件安全对其履行关键职能至关重要。为此,要在政府软件的开发和部署过程中,实行更严格和可预测的机制,以确保美软件供应链安全工作进展及对我启示左晓栋/中国科学技术大学公共事务学院网络空间安全学院32|保密科学技术|2022年12月特别策划软件产品功能安全和有序运行。行政令提出了“关键软件”安全性和完整性的概念。故其在第4节定义了23项供应链安全行动,其中第4(e)节要求商务部发布增强软件供应链安全性的指南。该指南包括以下方面的标准、程序或要求。(1)安全软件开发环境,包括使用管理上独立的软件构建环境;对信任关系进行审计;在整个企业建立多因子、基于风险的鉴别和有条件的访问控制;对数据进行加密;对运行情况进行监测和告警,并对网络安全事件做出响应。(2)编制并提供相关资料,证明其符合安全软件开发环境流程;使用自动化工具或类似流程,维护受信任源代码供应链,从而确保代码的完整性。(3)使用自动化工具或类似流程,定期或在更新前检查漏洞并进行修补。(4)通过直接或在公共网站上发布的方式,为购买者购买的每一种产品提供一份软件物料清单(SBOM)。(5)证明其符合安全软件开发实践的要求。(6)确保并在切实可行的范围内,证明产品任何部分使用的开源软件的完整性和来源。3美国的具体进展美国23项供应链安全行动相关工作进展如表1所示。表1美国23项供应链安全行动相关工作进展EO.4028相关工作和交付成果第4b节:在行政令发布30天内,商务部部长(通过美国标准技术研究院(NIST)院长)应向联邦政府、私营部门、学术机构和其他参与机构征求意见,确定...
