近年来,随着软件开源成为主流,开源软件已经成为软件供应链的重要环节,是软件生态不可或缺的组成部分。几乎每个商业软件都使用开源软件节省开发时间、降低公司成本、避免重复造车轮,但软件公司对这些代码的品质和来源却未必都给予了足够的关注和重视。
欧盟《网络弹性法案》及美国参议院《2022 年保护开源软件法案》两大提案的相继出台,体现了两大海外市场对软件供应链安全的高度重视。不同的国际市场环境下,有着不同的法律规定。对出海企业来说,需要对开源软件安全投入更高的关注度。合规且安全的出海,企业才会有更多的创新和发展空间可言。
《网络弹性法案》
到目前为止,世界各地的智能和连接设备基本上没有受到监管,相对来说,它们在出厂时很少考虑到长期的安全问题。市场上充斥着没有密码保护的设备、无法更改的默认密码、没有办法在漏洞出现时更新固件或软件,以及其他严重的安全漏洞,这些都表明在基本设计层面上对安全问题的忽视。这些物联网产品中有许多极易受到黑客和网络犯罪攻击的漏洞。
事实上,根据网络安全风险公司(Cybersecurity Ventures)的数据,全球每 11 秒就会发生一次勒索软件攻击,去年全球经济损失约为 200 亿欧元。同时,仅 DDoS 攻击一项,欧盟在 2020 年就损失了约 650 亿欧元。2021 年网络犯罪给全球经济造成了 5.5 万亿欧元的损失。预计到 2025 年,网络犯罪的损失将超过 10 万亿欧元。
《网络弹性法案》的立法意义
《网络弹性法案》是欧盟范围内有史以来第一个此类立法,它为具有数字化元素的产品的制造商和开发者引入了共同的网络安全规则,涵盖硬件和软件。它将确保连接到互联网的有线和无线产品以及投放到欧盟市场的软件更加安全,且制造商仍然对产品整个生命周期的网络安全负责。它还将使这些产品的客户能够正确了解他们所购买和使用的产品的网络安全情况。《网络弹性法案》也有可能成为欧盟内部市场之外的一个国际参考点。基于该法案的欧盟标准将促进其实施,并将成为欧盟网络安全行业在全球市场的资产。
监督与被监督主体
监督主体:欧盟成员国将指定市场监督机构,负责执行《网络弹性法案》的义务。
被监督主体:制造商、开发者、分销商、进口商都有义务保证所涉及产品满足该法案规定的内容。
普遍认为,该法案主要针对的商品主体是 IoT 设备/智能设备。某些特定的设备,比如医疗设备、汽车、航天器等被排除在外,因为这类设备已经有相关行业网络安全标准进行规范。
作为服务提供的软件并不在 CRA 的范畴之中。因为这部分内容已经在欧洲议会和理事会通过的 NIS2 指令中有所规定。
《网络弹性法案》旨在解决的风险
-
许多软硬件产品的网络安全水平低,制造商对于安全漏洞更新的不作为使得消费者成为了承担风险的主体,反过来这也限制了制造商对于产品网络安全的投入。
-
企业和消费者在选择产品的时候,往往缺乏足够和准确的信息和专业知识来保证选择的产品是安全的或者如何用安全的方式进行操作。
新规则旨在解决更新问题和向客户提供最新信息这两方面的问题。
如何解决这些问题?
《网络弹性法案》规定,含有数字化元素的产品只有在满足特定的基本网络安全要求时才能在市场上出售。它要求制造商在设计和开发带有数字化元素的产品时必须考虑网络安全因素。
关于提供给最终用户的信息和说明,该法案要求制造商在客户需要了解的网络安全信息保持透明。该提案的一个关键因素是覆盖产品的整个生命周期,特别是规定制造商和开发者有义务提供有关产品的停产信息和所提供安全支持的信息,以及有义务在合理的时间内提供安全更新和支持。
从制造商开始,一直到分销商和进口商,都有义务使其在供应链上的作用和责任得到充分的体现,从而将含有数字化元素的产品投放到市场上。基于欧盟产品立法的新框架,制造商将经历一个符合性评估的过程,以证明与产品有关的特定要求是否已经得到满足。这可以通过自我评估或第三方合格评估来完成,这取决于有关产品的关键性。如果产品符合适用的要求,制造商和开发商将起草一份欧盟符合性声明,并贴上 CE 标志。CE 标志将表明带有数字化元素的产品符合 CRA 的要求,这样它们就可以在内部市场上自由流动。
谁将从《网络弹性法案》中受益?
1)由于该法案规定了关联企业必须在整个欧盟范围内遵守一套统一的网络安全规则,这将从侧面来推动企业对于产品网络安全的投入,减少安全事件的发生,进而提升企业商誉。
2)对欧盟来说,这将会从正面刺激对带有数字化元素的产品的需求。
3)消费者和用户会在选择这类产品时获得更多的信息和更清晰的说明。同时由于安全风险的降低,消费者和使用者的基本权利会得到更好的保护,比如数据合规和个人隐私保护。
不符合规定的产品将如何处理?
在不遵守规定的情况下,市场监督机构可以要求经营者结束不遵守规定的行为并消除风险,禁止或限制在市场上提供产品,或命令撤回或召回产品。这些机构都将能够对不遵守规则的公司进行罚款。《网络弹性法案》规定了国家法律中应规定的不遵守规则的行政罚款的最高限额。
Article 53 Penalties
3.The non-compliance with the essential cybersecurity requirements laid down in Annex I and the obligations set out in Articles 10 and 11 shall be subject to administrative fines of up to 15 000 000 EUR or, if the offender is an undertaking, up to 2.5 % of the its total worldwide annual turnover for the preceding financial year, whichever is higher.
对于违反本法案中对网络安全基础要求的情况,应处以最高 1500 万欧元的行政罚款,如果违法者是企业,则最高为其上一财政年度全球年总营业额的 2.5%,以较高者为准。
4.The non-compliance with any other obligations under this Regulation shall be subject to administrative fines of up to 10 000 000 EUR or, if the offender is an undertaking, up to 2 % of its total worldwide annual turnover for the preceding financial year, whichever is higher.
对于违反本法案中其他规定的情况,应处以最高 1000 万欧元的行政罚款,如果违法者是企业,则最高为其上一财政年度全球年总营业额的 2%,以较高者为准。
5.The supply of incorrect, incomplete or misleading information to notified bodies and market surveillance authorities in reply to a request shall be subject to administrative fines of up to 5 000 000 EUR or, if the offender is an undertaking, up to 1 % of its total worldwide annual turnover for the preceding financial year, whichever is higher.
向监督机构提供不正确、不完整或有误导性的信息的答复函的主体,应处以最高 500 万欧元的行政罚款,如果违法者是企业,则最高为其上一财政年度全球年总营业额的 1%,以较高者为准。
尚不清晰之处
1)软硬件的设计阶段如何被监管,因为该法案针对的范围是整个产品的生命周期。
2)对于监管的松紧程度尚不清晰,有评论认为非关键产品可能可以通过第三方认证或者自认证的方式通过审查。
《2022 年保护开源软件法案》
美国参议院《2022 年保护开源软件法案》是针对现行 2002 国土安全法中对于开源软件的规范部分的修正。明确规定了 Cybersecurity and Infrastructure Security Agency (CISA) 局长的职责:
1)雇佣有参与开源社区经验的员工
2)把握提升开源软件安全的大方向
3)协调、支持联邦与非联邦层面的各项工作来提升开源软件安全并作为非联邦机构的联络人
4)协助开源漏洞的披露
5)支持联邦采购安全议会的各种活动
法案要求
局长应在法案颁布之后的一年之内结合包括 NIST 在内的政府机构和开源社区的最佳实践,制定评估开源组件风险的一个框架,包括直接和间接的开源组件依赖。至少满足如下几项:
1)代码本身的安全属性,比如代码是否由内存安全的语言所编写。
2)在开源软件代码的开发、构建、发布过程中是否使用了诸如 MFA 或者加密签署的过程。
3)特定常见的开源组件中的漏洞数量及严重程度
4)特定开源组件的影响范围
5)特定开源组件部署过程中的风险程度,比如是否运行在某些网络边界或者在特定的地理位置之内。
6)特定开源组件社区的成熟度。
对联邦政府中使用的开源组件:
1)评估直接与间接使用的开源组件,并给出类似 SBOM 的机器可读的输出结果。
2)根据开源组件关键性、风险程度和使用程度给出排序列表
另外,在公布初始框架的两年后,CISA 必须要研究它是否可以用于政府以外的关键基础设施,并与一个或多个关键基础设施部门合作,自愿进行测试。
该立法还要求管理和预算办公室(OMB)向联邦机构发布关于安全使用开放源码软件的指导,并在 CISA 网络安全咨询委员会中设立一个软件安全小组委员会。
对于国内厂商和开发者的要求
由于我国有大量向欧美出口 IoT 设备的企业,这两个法案,尤其是欧盟的《网络弹性法案》,对国内企业的影响无疑是巨大的。IoT 制造商有义务确保所生产的产品符合法规中的网络安全的相关规定,否则将面临数额巨大的罚款。
但是现状是我国企业对于网络安全的重视程度不够、工具和人才投入少、缺乏相应的流程和体系。建立这一整套的体系来满足出口地区的规范将会是比较艰难的。美国参议院对于开源软件的提案也势必会对其他行业产生影响,形成更严格的市场准入规范和标准,中国出口型企业需要做好准备来应对这些变化。
保护开源软件法案中提到的机器可读信息(如 SBOM)和美国商务部提出的最基础 SBOM 相关内容,对于大量使用开源代码的企业,需要尽快建立开源治理体系、采购相关的 SCA 工具、培养相关的开源人才。
关键词:《网络弹性法案》;《2022 年保护开源软件法案》;出海;欧盟法案;美国法案;安势清源;清源 SCA;安势清源 SCA;SBOM
关于安势信息
上海安势信息技术有限公司致力于解决软件供应链中的安全和合规问题。作为中国领先的软件供应链安全治理工具提供商,安势信息以 SCA(软件组成分析)产品作为切入点,围绕 DevSecOps 流程,着力于从工具到流程再到组织,坚持持续创新,打造独具特色的端到端开源治理最佳实践。欢迎访问安势信息官网 www.sectrend.com.cn 或发送邮件至 info@sectrend.com.cn 垂询。