简析《美国白宫<利用安全的软件开发实践增强软件供应链的安全性>备忘录》

美国在遭遇以SolarWinds为代表的数起软件供应链安全大型事件之后，紧急出台了一系列政策法规以确保国家软件供应链安全，如《关于改善国家网络安全的行政命令》（以下简称第14028号行政令）《确保信息和通信技术及服务供应链安全的行政令》等。特别是第14028号行政令，是拜登政府上台以来签发的为数不多的网络安全纲领性文件。第14028号行政令将“增强软件供应链安全”作为提升国家网络安全防御能力的重要举措之一，提出了构建软件供应链安全标准化工作框架并部署了一系列具体任务（详见表1）。

《备忘录》实际上是呼应表1所列的第9项计划任务。该任务要求“OMB应在NIST发布‘加强软件供应链安全的最佳实践指南’之后30天内采取适当措施敦促各联邦机构遵循该指南”。截至目前，NIST按照第14028号行政令研究制定的软件供应链安全相关的标准指南主要包括：《第14028号行政命令4e小节下的软件供应链安全指南》（Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e）、《系统和组织的网络安全供应链风险管理实践》（Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations）、《软件供应链和DevOps安全实践》草案（Software Supply Chain and DevOps Security Practices）等。

《备忘录》可视为对以上指南的进一步梳理，并补充细化了某些具体工作流程。

《备忘录》针对第14028号行政令提出的“增强软件供应链安全”要求进行了三方面的细化和完善，即：规定了适用范围、具体行动和机构职责等内容，并通过附录给出各机构开展行动的时间表。

《备忘录》对“软件”的定义引用了NIST发布的《软件供应链安全指南》，即包括固件、操作系统、应用程序、应用程序服务（如：基于云的软件）以及包含软件的产品。

《备忘录》规定了本文件适用的范围。主要包括三类软件：一是适用各联邦机构使用自《备忘录》生效之日后开发的软件；二是适用自《备忘录》生效之日后因主流版本变更而修改的现有软件；三是适用联邦机构授予合同的其他机构（使用软件）。

同时，《备忘录》还明确了排除适用的范围。即：各联邦机构自行开发的软件不适用本《备忘录》的相关规定，尽管各机构应当采取相应措施保障这些软件的安全。

《备忘录》规定联邦机构的首席信息官（CIOs）应当与首席采购官（CAOs）及指定部门协商，采取以下两方面行动来确保软件生产商已实施并证明其符合安全的软件开发实践。

第一，联邦机构在使用软件之前必须获得软件生产商的自我证明（self-attestation）文件。自我证明文件内容包括：软件生产商名称、产品描述、软件生产商遵循安全开发实践和任务的声明文件等。此外，由经认证且使用NIST指南作为评估基准的第三方评估机构提供的第三方评估可以代替软件生产商的自我证明。

第二，联邦机构可以根据需要从软件生产制造商处获取符合安全软件开发实践的证明文件。如：在招标文件中要求提供软件物料清单（SBOM）；要求软件生产商提供参与漏洞披露计划的证明文件等。

《备忘录》规定了美国联邦机构、管理和预算办公室（OMB）、网络安全和基础设施安全局（CISA）应当履行的职责和时间节点。具体如表2所示。

总体来看，《备忘录》的发布或将产生三方面影响，除了在其国内持续强化软件供应链政策连贯性、敦促既有标准规范加快实施之外，对外也可能会起到一定的示范效应。

首先，《备忘录》是美方保持其政策连贯性、发挥软件供应链政策双重战略价值的方式。一方面，软件供应链政策的对内价值在于维护其自身软件供应链的安全发展和连续性；另一方面，软件供应链政策的对外价值在于可作为一种遏制手段或筹码，维护美在相关生态中的主导权，出口管制、断供、禁用等是常见的具体管理措施。

其次，《备忘录》也反映了美敦促联邦机构落实软件供应链安全的现实状况。一方面，从第14028号行政令的时间进度表来看，部分重要任务的实施进度已经滞后。另一方面，《备忘录》还规定“各联邦机构可在规定截止日期前30天内向OMB提出延期和豁免相关要求”，为实际规则的落实预留了一定裁量空间。由此不难推断，美国在建立健全软件供应链安全体系方面并非一蹴而就，而需一段时间。

最后，《备忘录》在一定程度上会促进其他国家完善软件供应链相关管理机制和规范，并加强自身软件供应链供给能力建设。

绿盟科技密切关注软件供应链安全，积极开展创新研究，先后推出多项软件供应链安全产品及解决方案，并联合业界发布了《软件供应链安全技术白皮书》，期望为促进我国软件供应链安全发展持续贡献力量。