前言

近期美国和欧盟都发布了新的供应链安全相关要求法案，要求厂商评估供应链数字化产品的安全性，此举旨在保护供应链安全，防止 SolarWinds 等安全事件的再次发生。

美国和欧盟在各自的法案都提到了软件安全检测，软件物料清单(SBOM)等内容，这意味着通过强制性的网络安全法规要求，企业必须通过披露 SBOM、源代码安全检测等手段提升数字化产品安全性，才能继续正常地销售提供数字化产品。

美国白宫在 9 月 14 日发布了题为《通过安全的软件开发实践增强软件供应链的安全性》的备忘录。该备忘录要求供应商产品需提供安全自我证明。自我证明是指开发人员必须提供以证明其符合安全软件开发框架的文档。

欧盟在 9 月 15 日发布了题为《网络弹性法案》（Cyber Resilience Act）的草案，旨在为联网设备制定通用网络安全标准。法案要求所有出口欧洲的数字化产品都必须提供安全保障、软件物料清单 SBOM、漏洞报告机制，以及提供安全补丁和更新。违反规定的公司将面临最高 1500 万欧元或全球营收 2.5%的罚款。

为什么欧盟和美国要保证供应链安全

由于开源技术应用、国际形势复杂、软件供应链的多样化，供应链各个环节的攻击急剧上升，已然成为网络主要的安全成胁。

全球新一轮的产业数字化升级对开源软件的依赖日益提升，从而催生开源生态的蓬勃发展，而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可能像一个新冠病毒一样快速传播，对全球的数字化产业带来无法估量的影响。而这种影响的持续时间可能是 3～5 年，甚至更长。

例如 Log4j2 作为 java 代码项目中广泛使用的开源日志组件，它的一个严重安全漏洞曾给全球的软件供应链生态造成严重的影响，任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。

SolarWinds Orion 软件更新包在 2020 年底被黑客植入后门，此次攻击事件波及范围极大，包括美国政府部门、关键基础设施以及多家全球 500 强企业，影响难以估计。

法规重点内容

美国法规

美国 《通过安全的软件开发实践增强软件供应链的安全性》 备忘录主要针对联邦政府的供应商，要求供应商对产品进行安全自证，如果为联邦政府重点关注的产品，则需要第三方评估。备忘录中的重点内容如下：

• 供应商的自我认证可以被由经过认证的 FedRAMP 第三方评估组织(3PAO)提供的第三方评估，或由机构批准的第三方评估取代，当供应商的产品包含开源软件时，3PAO 使用 NIST 指南作为评估基线。

• 备忘录所指的“软件”一词包括固件、操作系统、应用程序和应用程序服务(例如，基于云的软件)，以及包含软件的任何产品。

• 如果为联邦政府重点关注的产品，软件开发者需提供详尽的 SBOM。

• 联邦政府可能会需要 SBOM 以外的安全证明(例如源代码扫描报告，漏洞扫描报告等）。

欧盟法规

欧洲议会和理事会现在将审查《网络弹性法案》草案。该法规预计将在 2024 年生效。新标准颁布后，经济运营商和成员国将有两年时间适应新标准，违反规定的公司将面临将面临最高 1500 万欧元或全球营收 2.5%的罚款。

欧盟 《网络弹性法案》主要针对出口到欧盟的数字化产品，带有软件的产品制造商应做到以下几点要求:

• 提供至少需包括产品的顶层依赖关系的软件材料清单 SBOM;

• 通过提供安全更新等方式立即解决数字化产品中发现的漏洞;

• 对数字化产品的安全性进行有效和定期的测试和审查;

• 在提供安全更新后，公开披露有关已修复漏洞的信息，包括漏洞的说明、允许用户识别受影响的数字元件的信息、漏洞的影响、其严重性以及帮助用户补救漏洞的信息;

• 制定并实施漏洞协调披露政策;

• 提供联系地址，以便报告在数字化产品中发现的漏洞;

• 规定分发数字化产品安全更新的机制，以确保可利用的漏洞及时得到修复或缓解;

• 确保在提供安全补丁或更新以解决已查明的安全问题的情况下，立即免费分发这些补丁或更新，同时向用户提供有关信息，包括可能采取的行动的建议信息。

法规特点

关注供应商管理

欧盟和美国的法规文件认为，一种产品的网络安全漏洞可能会影响整个供应链，这可能会扰乱整个欧盟内部市场或联邦政府的经济和社会活动。因此都对产品供应商提出了较为明确的要求，包括提供 SBOM、漏洞分析报告、第三方评估报告等内容。

强化最佳实践

法规提出如确保产品“以安全默认配置交付的义务，包括将产品重置为其原始状态的可能性”或“设计、开发和生产以限制可能的攻击面”、提供 SBOM 清单、进行源代码扫描、定期测试等这些要求反映出对信息安全最佳实践的强化，期望通过明确的要求，使得供应商都能遵从最佳实践。

关键产品将受到更多约束

属于“关键”类别的产品（例如身份管理系统、密码管理器、恶意软件扫描系统、微处理器、操作系统、路由器、智能电表等）将受到更严格规则的约束。

趋势

威胁事件次数呈现上涨趋势

近年来供应链安全事件频发，据 Sonatype 公司的调查，供应链攻击行为比去年增加了 430%。欧盟估计全球每年的网络犯罪成本达到了 5.5 万亿欧元，不仅影响企业安全，对国民经济、政治都造成了极大的威胁。为了防止诸如 SolarWinds 事件的再次发生，许多地区法规都在提升对供应链安全的管控要求。

供应商管理将受到关注

为了减少供应链安全事件，更多国家和地区可能建立类似欧盟和美国的供应商准入机制，供应商会被要求「自证清白」、遵守最佳实践。供应商管理可能成为接下来大家所关注的热点。

企业需加大安全投入

在合规要求不断加强的形势下，面向国际市场的硬件制造商、软件开发商、分销商和出口商都将需要提高合规力度，用于内部安全流程机制的建立、安全技术能力的提升，需要将供应链的安全保障落到实处，否则难以满足漏洞风险排查、默认配置安全、最小化事件影响等基线要求。

对于企业需要关注的点

随着海外市场在软件供应链安全上的监管力度增大，具有海外业务的企业需要优先关注合规风险，同时国内相关法规的出台也只是时间问题。企业可以采取如下措施来降低合规风险，提升产品竞争力：

• 做好产品 SBOM 管理，排查安全风险；

• 将供应链安全的治理能力嵌入组件引入、代码合入、测试、CI/CD 等产品研发流程；

• 建立供应商准入机制，将 SBOM 透明度、安全风险识别和处置能力作为考量；

• 针对产品建立漏洞监测、披露和修复机制，提升处置响应能力；

• 产品提供在线安全更新能力，降低修复成本。

参考链接

https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf

https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act