拜登政府於三月初公佈了國家網路安全戰略,這代表著美國政府從三十年來的現況中有著劇變,讓行業在「公私合作夥伴關係」下制定自己的規則。該戰略承認「行業自行保護」的失敗,並指出市場對易受攻擊的實體到數位生態系的引入成本不足。所以其旨在將責任轉移到「未採取合理預防措施保護其軟體的實體」。以下是國會應寫入法律的四個想法,這將顯著提高軟體供應鏈和部署應用程式和設備的安全性:
- 要求該行業解釋軟體中的內容:首先要強制使用軟體物料清單(software bill of materials,SBOM)來追蹤應用程式的成分,並使用程式碼簽章技術來記錄軟體部署的來源。國會則需要通過新法律來保障更多軟體來源透明度的需求,並強調公私部門機構需要知道所依賴的應用和服務來源,以及相關開源和第三方軟體元件的背後組織與開發人員。
- 打擊軟體篡改和惡意內容:SolarWinds攻擊首次曝光兩年多後,很少有開發組織積極監控篡改行為。國會應尋找強制監控軟體篡改、未經授權的程式碼修改和惡意程式碼的方法,軟體供應商也應證明其軟體開發和發布管道沒有惡意行為者及軟體。
- 採取迅速行動,消除「名人」漏洞(Celebrity vulnerabilities):名人漏洞會構成嚴重網路安全風險並隱藏在常見元件中的漏洞。聯邦政府除了聯邦IT系統和高度監管部門之外,幾乎沒有任何手段迫使私營企業解決漏洞。因此,國會可以通過要求對高風險的軟體漏洞即時行動,促使組織證明其交付給客戶的軟體沒有重大漏洞,並在發現後披露及修復。
- 認真對待網路韌性:該計劃未提及生產給公私部門所需的軟體和服務的開發過程和實踐的彈性。彈性意味著存在專注於軟體品質和安全的開發過程,包括頻繁地修正程序和持續監控開源和第三方軟體品質以及內部開發的程式碼。最後,彈性還意味著實施多種編碼策略,如ASLR、DEP等漏洞緩解技術,以阻止未來漏洞造成的損害。
國會應該明確指出軟體生產準則,強調使用高品質且可靠的第三方和開源軟體,以及注意開發與構建過程,以消除危害和攻擊風險。透過民意代表們立法制訂高水準的軟體安全和品質標準,以要求供應商優於標準而非僅只是達標。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:Mario Vuksan(2023). Four ways to give the national cybersecurity strategy some teeth. SC Media.
檢自:https://www.scmagazine.com/perspective/leadership/four-ways-to-give-the-national-cybersecurity-strategy-some-teeth (Mar. 20, 2023)
