聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
美国管理和预算办公室 (OMB) 发布关于联邦机构何时以及如何从软件厂商处收集安全保证的指南。
去年,OMB基于美国总统拜登在2021年5月发布的网络安全行政令,发布了一份备忘录 (M-22-18),要求联邦机构从软件厂商处获得关于所提供软件是安全的相关保证。
M-22-18不但要求对所有在2022年9月14日之后所开发软件的证明,而且还指出,如果在此日期前所发布的软件收到重大更新或者用作服务并收到持续更新,则也应当提供相关证明。
这类保证一档至少以自证表格的形式提供,但联邦机构也可要求提供软件物料清单 (SBOM) 以及其它工件,或者要求厂商运营漏洞披露计划。
该指南同事要求联邦机构列出需符合这些要求的所有软件,与厂商建立沟通渠道并获得必要的证明。
OMB 在上周五发布新的备忘录(M-23-16)中,重申了此前要求并为机构扩展了需获得证明的时间线。此前,联邦机构需在270天内获得关键软件的证明并在一年内获得其它软件的证明。
M-23-16规定,关键软件的证明应当在OMB 根据《文书缩减法案 (PRA)》批准CISA M-22-18常用证明表单的不超过三个月的时间内获取。OMB批准常用表单的六个月内应当获得所有其它软件的证明。
5月1日,CISA 发布自证表格草案收集公开意见,收集时间为60天。CISA将在查看反馈并给出潜在变化后发布新版本。
在新的备忘录中,OMB 指出,联邦机构无需获得第三方软件组件的证明,而应当考虑使用专有但免费获取并公开可用软件(如web浏览器)的风险,另外即使是承包商以机构的名义部署、配置或修改的软件也应当提供证明。
此外,如果软件厂商无法提供软件证明,但提供了关于无法证明的实践文档,则联邦机构需要将此事通知给 OMB 并获得对证明最后期限的延期。不过,联邦机构仍可继续使用这类软件。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击
OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
原文链接
https://www.csoonline.com/article/3698189/gigabyte-firmware-component-can-be-abused-as-a-backdoor.html
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
