軟件供應鏈安全是2024年網絡安全領域的重點議題之一，因為近年來SolarWinds、Log4j2、微軟、Okta、npm等一系列軟件供應鏈攻擊已經為業界敲響了警鐘。利用文件傳輸服務(MFT)漏洞的勒索軟件攻擊更是給數以千計的企業造成重大損失。

面對快速增長的軟件供應鏈威脅，各國政府紛紛頒布法規和政策，重點覆蓋軟件的安全設計、安全開發、軟件責任和自我證明，以及第三方認證等議題。

對于業務全球化的軟件供應商(包括網絡安全廠商和任何產品中包括軟件和數字元素的供應商，例如新能源汽車)來說，熟悉全球軟件供應鏈安全法規已經成為拓展海外業務的必修課。以下，我們整理了近年來各國政府制訂的軟件供應鏈安全相關的政府法規和國際項目：

美國

網絡安全總統行政命令

美國軟件供應鏈安全指南的大部分內容可追溯到拜登的14028號總統行政命令——“關于改善國家網絡安全的行政命令”。雖然該行政命令本身并沒有給出太多軟件供應鏈安全相關的具體要求，但制定了指導方針。例如，第4節特別關注“增強軟件供應鏈安全”，并對美國國家標準與技術研究所(NIST)、管理和預算辦公室(OMB)、網絡安全和基礎設施安全局(CISA)等提出了要求。

OMB22-18和23-16

根據總統行政命令，管理和預算辦公室(OMB)發布了兩份備忘錄22-18和23-16，每份備忘錄都重點關注軟件供應鏈安全，并開始推動要求，例如對所有向美國聯邦政府銷售的軟件供應商提出要求。政府開始自我證明是否遵循安全軟件開發實踐，例如NIST的安全軟件開發框架(SSDF)。備忘錄還要求在某些情況下使用SBOM，對于較高風險項目使用第三方評估服務。

FDA醫療設備網絡安全法規/第524B節

在美國受到特別關注的一個領域是醫療設備。最新的法規來自美國食品和藥物管理局(FDA)在《聯邦食品、藥品和化妝品法案(FD&C)》第524B條中提出的新要求，包括上市前提交醫療設備，要求記錄醫療設備系統的安全風險管理活動，并指出除了漏洞評估和威脅建模等活動之外還需要實施SBOM。

FDA還特別關注了醫療設備中的開源軟件組件的作用，以及從風險管理角度考慮的潛在風險。

SSDF

雖然本身不是監管或合同要求，但NIST的安全軟件開發框架(SSDF)是了解美國軟件供應鏈安全必修課。

美國總統網絡安全行政令明確要求NIST更新SSDF和OMB，這兩個框架也是所有向美國聯邦政府銷售產品的軟件供應商進行自我認證的關鍵框架。SSDF利用多個現有的安全軟件開發框架，例如OWASP的安全應用程序成熟度模型(SAMM)和Synopsys的構建安全成熟度模型(BSIMM)，來交叉引用開發安全軟件時應遵守的實踐。

國家網絡安全戰略——軟件責任

2023年發布的最新美國國家網絡安全戰略(NCS)重點關注軟件供應鏈安全，包括呼吁“重新平衡保衛網絡空間的責任”。

NCS戰略的關鍵主題是將焦點從客戶和消費者轉移到軟件供應商，這也是CISA等機構“設計安全”計劃的關鍵主題。NCS的另一個重點主題是強調塑造市場力量以推動安全性和彈性，并呼吁開展諸如追究數據管理者責任和推動安全設備開發等活動，甚至引入了備受爭議的“軟件責任”主題。

2023年開源軟件安全法案

與企業市場類似，美國聯邦政府也越來越依賴開源軟件。2022年的《保護開源軟件法案》公開承認了這一點。該法案認識到開源軟件的重要性，并呼吁CISA等機構直接參與開源社區。它規定了CISA主任在外聯和參與方面的職責，以幫助促進提高開源軟件生態系統的安全性。

歐盟

網絡彈性法案

在歐盟方面，受到全球關注的立法是《歐盟網絡彈性法案》。這是一項影響深遠且覆蓋全面的立法，為包含數字元素的產品的供應商和開發商制定了共同的網絡安全規則和要求。

該法案涵蓋硬件和軟件以及任何具有“數字元素”的產品，與GDPR非常相似?！稄椥苑ò浮繁M管是在歐盟設計的，但適用于所有在歐盟市場銷售的產品，因此具有全球性的深遠影響。

該法案要求網絡安全成為具有數字元素的產品設計和開發的關鍵因素，違規行為除了會被處以行政罰款外，還可能導致產品在歐盟市場的銷售受到限制。

人工智能法案

緊隨《網絡彈性法案》之后的是《歐盟人工智能法案》，該法案的重點是確保在歐盟市場上實施可信賴的人工智能系統的開發和使用條件?！度斯ぶ悄芊ò浮芬幎烁鞣N可接受的風險級別，從“低“、”最低“到完全禁止某些用途，例如導致侵犯人類尊嚴或操縱人類行為的用途。

該法案適用于所有在歐盟投放和使用的人工智能系統和服務，因此具備全球性的影響力。被視為高風險系統的生產商需要執行各種風險管理和治理活動，并自我證明遵守該法案，違規可能會導致高達全球營業額的4%或高達數千萬歐元的罰款。

加拿大

加拿大網絡安全中心(CCCS)協助出版了《改變網絡安全風險平衡：設計和默認安全的原則和方法》。

它還將軟件供應鏈攻擊確定為CCCS2023-2024國家網絡威脅評估中的一個關鍵問題。CCCS還在2023年發布了《保護您的組織免受軟件供應鏈威脅》，為使用SSC的公司提供指導。

澳大利亞

2023年3月，澳大利亞網絡安全中心(ACSC)發布了《軟件開發指南》，重點關注跨軟件開發生命周期和環境的各種安全控制。它還強調需要進行應用程序安全控制和測試來修復漏洞，并引用了SBOM的用例。澳大利亞還參加了“四方網絡安全伙伴關系：安全軟件聯合原則”的國際項目。

國際協作項目

雖然各國都忙于推動自己的軟件安全議程，但全球范圍內的協作并沒有停止腳步。例如，一項被稱為“四方網絡安全伙伴關系：安全軟件聯合原則”，于2023年5月發布，由美國、印度、日本和澳大利亞合作制定。

“安全軟件聯合原則“的重點是將安全軟件開發實踐納入政府政策和供應商的軟件采購中。它與NISTSSDF中的四個階段相一致，并討論了要求軟件生產商進行自我證明甚至在必要時進行第三方認證的提議。