川普政府為何撤回拜登時期的軟體安全強制規範?
最近白宮好像針對軟體安全政策又做了一些調整。說來也奇怪,這次好像是川普政府在推動,不過他們保留了先前拜登時期那種讓承包商自我聲明符合安全規範的要求。只是,有個本來算重要的部分——就是原本拜登一月時下令要發展新的採購規則,好像現在被刪掉了。記得那條新規應該是要廠商真的交出一些證據,證明自己有照NIST(反正就是美國標準局)的那套安全發展框架走。
不過,白宮後來有發布一份說明文件,裡面講到川普這邊可能覺得之前拜登訂的某些規定太複雜、容易讓人分心。例如那些軟體帳目流程,有些人認為會花掉不少精力去對表格,比起真正投資安全措施還多。所以現在似乎打算組個產業聯盟,由業界一起討論怎麼落實比較合理。當然,事情細節其實每次都會變動,也沒什麼絕對答案。
總之,目前看起來,美國政府還是想加強軟體供應鏈安全,只是方法和重點可能跟幾個月前略有不同。很多東西都還在摸索,大概只有七成左右的內容被留下吧?連數據到底多有效,也經常有人各執一詞。有興趣的人或許可以再查查最新動態。
不過,白宮後來有發布一份說明文件,裡面講到川普這邊可能覺得之前拜登訂的某些規定太複雜、容易讓人分心。例如那些軟體帳目流程,有些人認為會花掉不少精力去對表格,比起真正投資安全措施還多。所以現在似乎打算組個產業聯盟,由業界一起討論怎麼落實比較合理。當然,事情細節其實每次都會變動,也沒什麼絕對答案。
總之,目前看起來,美國政府還是想加強軟體供應鏈安全,只是方法和重點可能跟幾個月前略有不同。很多東西都還在摸索,大概只有七成左右的內容被留下吧?連數據到底多有效,也經常有人各執一詞。有興趣的人或許可以再查查最新動態。
新行政命令讓產業聯盟主導資安標準,這招真的有用嗎?
大概在最近這一輪政策變動裡,原本以為會有什麼全新的合約規範,不過後來情況好像改了。川普並沒有直接要求什麼新條件,反而是叫NIST去搞個產業聯盟,說要趕在八月初左右弄出來。聽起來這種聯盟主要是讓業界自己多參與一點,用來協助NIST整理怎樣做軟體才算安全、要怎麼運作比較妥當,還有那個SSDF標準的東西,好像也都包進去了。
WilmerHale那邊幾位律師在網誌裡寫到,他們覺得這種轉向,大致上就是把主導權交回給廠商,不再由政府單方面決定驗證辦法。感覺上,像洛杉磯那間Greenberg Glusker的Peter Jackson律師,他倒是提到,川普這個行政命令看似讓開發商不用再被硬性要求,要他們非得證明自己的軟體賣給政府時一定安全、沒問題不可。整體氣氛變得不像前陣子那麼緊繃,只是未來會怎麼走,也許還需要一些時間觀察。
WilmerHale那邊幾位律師在網誌裡寫到,他們覺得這種轉向,大致上就是把主導權交回給廠商,不再由政府單方面決定驗證辦法。感覺上,像洛杉磯那間Greenberg Glusker的Peter Jackson律師,他倒是提到,川普這個行政命令看似讓開發商不用再被硬性要求,要他們非得證明自己的軟體賣給政府時一定安全、沒問題不可。整體氣氛變得不像前陣子那麼緊繃,只是未來會怎麼走,也許還需要一些時間觀察。
Comparison Table:
| 主題 | 內容 |
|---|---|
| SBOM(軟體組成清單) | 一種列出軟體內部元件的清單,幫助了解使用的元件及其安全性。 |
| 政府要求 | 一些機構已開始要求供應商提交SBOM,以提升透明度和安全性。 |
| NIST的新命令 | 前總統簽署的行政命令要求更新SSDF草稿,強調軟體開發和交付過程中的安全做法。 |
| 資安成熟度認證 | 國防部推進中的網路安全成熟度認證計畫,旨在提高軟體採購的安全性。 |
| 產業共識與挑戰 | 業界對於如何改善資安仍存在分歧,但普遍認為有必要加強安全意識及技術能力。 |
律師怎麼看川普砍掉開發商提交合規證明的規定?
有時候,開發人員雖然依舊會照著某種強化過的標準來做認證,但軟體還是可能帶著那些挺明顯的小問題——像是漏洞、錯誤什麼的——本來如果靠那個自我聲明流程,也許能早點發現。Jackson在郵件裡這樣說,不過他講得也不是百分百肯定。
其實說起來,這套所謂軟體安全框架,好像對很多人還是有點新鮮。一場大概幾年前的攻擊事件後,美國政府才開始推動要整合這些標準。拜登那邊出的第一份資安行政命令,據說川普沒怎麼動過,倒是在那之後,辦公廳(應該是白宮底下的)在約莫兩年前要求各單位買軟體前都得讓廠商先自己承諾安全性。然後到了今年初左右,國土安全部才把相關規範給定下來。不過好像一月時,有官員就提到光靠自我聲明可能還是不太夠。
反正細節聽起來多又雜,其實蠻多機構、業界人士對於這類框架理解還沒那麼深刻,也許還需要一段時間慢慢消化。實際上,到底哪些措施真有用,大概還得看未來幾年怎麼落地吧?
其實說起來,這套所謂軟體安全框架,好像對很多人還是有點新鮮。一場大概幾年前的攻擊事件後,美國政府才開始推動要整合這些標準。拜登那邊出的第一份資安行政命令,據說川普沒怎麼動過,倒是在那之後,辦公廳(應該是白宮底下的)在約莫兩年前要求各單位買軟體前都得讓廠商先自己承諾安全性。然後到了今年初左右,國土安全部才把相關規範給定下來。不過好像一月時,有官員就提到光靠自我聲明可能還是不太夠。
反正細節聽起來多又雜,其實蠻多機構、業界人士對於這類框架理解還沒那麼深刻,也許還需要一段時間慢慢消化。實際上,到底哪些措施真有用,大概還得看未來幾年怎麼落地吧?
從SolarWinds攻擊到現在,政府軟體安全標準走過哪些路?
有一段時間,官方那邊似乎很在意要看到所謂的「證明」,技術圈的人管這些叫「產出物」或什麼的。他們想讓聯邦政府合作的那些廠商能拿得出來一些東西,證明他們軟體有經過檢查,有處理掉已知的漏洞。當時白宮副國安顧問安妮·紐伯格跟媒體聊到這件事,好像有提過要讓整個軟體供應鏈變得更透明,也要大家對自己的產品負點責任。她還補一句,大致是說這樣可以順便讓教育、醫療等比較重要的行業也受益。
但怎麼說呢,有些產業裡的人後來私下提到,NIST那套軟體安全規範,其實推行起來還算新鮮,不太多人摸透。聽說這可能也是川普政府最後沒把相關要求寫進全國性政策指令裡的一個原因吧。總之現在距離那些討論也過了好一陣子,細節就…記不太清楚了。
但怎麼說呢,有些產業裡的人後來私下提到,NIST那套軟體安全規範,其實推行起來還算新鮮,不太多人摸透。聽說這可能也是川普政府最後沒把相關要求寫進全國性政策指令裡的一個原因吧。總之現在距離那些討論也過了好一陣子,細節就…記不太清楚了。
廠商自我聲明不夠看,拜登團隊當初還想要什麼證據?
有些行業在軟體安全這一塊好像走得還算前面,Nathan Jones,他是Sonar那邊負責公部門的副總,有提過,大致上他們碰到的組織,尤其那些受監管比較多的產業,看起來已經很早就開始琢磨怎麼讓開發流程變得更穩、更安全。當然,不同產業之間成熟度落差蠻明顯,有的大概才剛起步,不過也有人說他們內部正在慢慢把SSDF(類似開發安全流程)導入日常,好像不是每個人都一次就做到位,但多少能看到有些進展。其實要說很標準化也不至於,就是大致這樣吧。
業界坦言:不是所有公司都跟得上NIST框架的腳步
其實不是每個人都跟得上這些東西。像最近那個叫什麼基礎設施安全局的,他們好像開始在推一種叫軟體組成清單的概念,反正就是有點像把軟體裡面那些原料列出來。有些單位貌似已經慢慢要求廠商要交出這種清單,大概是想知道自己買的東西裡頭藏著什麼元件、會不會有哪裡出了點問題。不過,圈內有另外一個好像不方便公開名字的人就提到,現在大致上大家怎麼產生那份軟體原料表、要怎麼給客戶——比如說政府部門什麼的——流程應該已經算是差不多明朗了。至於是不是真有落實到每一間公司,每次看新聞還是會聽到有人抱怨說進展沒想像快,畢竟這套東西感覺才剛開始不久。
SBOM概念很紅,但政府真的知道怎麼用它嗎?
有個官員好像提過一件事,說起來其實也不是每個人都那麼清楚,就是聯邦的那些採購負責人還有授權的人,到底該怎麼在流程裡判斷、交換軟體相關的那些資料,像是SBOM這類東西。有人就講了,如果還沒搞明白這一塊——尤其是要怎麼把那些資訊在政府部門之間流通——那收集再多檔案或許意義都有限,對資安幫助恐怕也不大。
產業圈近來注意力倒是一直聚焦在NIST新弄的那個聯盟,好像也是因為前總統剛簽的新命令有要求。命令裡面也順帶提到,要讓NIST在年底前丟出SSDF的新版草稿。當然,這些變動到底會走向哪裡,也沒誰能講得很死,只能邊等消息邊觀察。
產業圈近來注意力倒是一直聚焦在NIST新弄的那個聯盟,好像也是因為前總統剛簽的新命令有要求。命令裡面也順帶提到,要讓NIST在年底前丟出SSDF的新版草稿。當然,這些變動到底會走向哪裡,也沒誰能講得很死,只能邊等消息邊觀察。
大家都在等!NIST年底前會端出什麼樣的框架更新?
那份行政命令裡有提到,更新內容大致上會牽涉到軟體發展和交付過程中比較偏向安全、可靠層面的做法或範例,還有像是怎麼確保軟體本身安全的那些細節。不過這些說法到底會做到什麼程度,好像也很難一口氣講清楚。
Chertoff Group 的 David London,好像在他自己的部落格寫過類似的東西。他覺得川普政府這次修正,如果順利的話,應該會讓 CISA 那個用來放產業回報資料的 RSAA 平台,在面對日後儲存、處理這些資訊時,不至於太混亂吧。可具體能不能完全做到,也沒人敢保證。
London 另外還有補充說,目前川普政府也在考慮其他採購安全軟體的方法,聽說國防部那個 SWFT 計畫就被拿出來討論過。不知道最後是不是會成真。
Jones 其實也提到了一些事情,比如國防部現在推進中的網路安全成熟度認證什麼的。看起來現階段美國政府針對資安領域的規範,一直都有往前走,只是每個政府著重點可能不完全一樣。你要說這一屆特別強調網安嗎?我覺得多少有點趨勢,但好像歷任也都差不多是這樣。
Chertoff Group 的 David London,好像在他自己的部落格寫過類似的東西。他覺得川普政府這次修正,如果順利的話,應該會讓 CISA 那個用來放產業回報資料的 RSAA 平台,在面對日後儲存、處理這些資訊時,不至於太混亂吧。可具體能不能完全做到,也沒人敢保證。
London 另外還有補充說,目前川普政府也在考慮其他採購安全軟體的方法,聽說國防部那個 SWFT 計畫就被拿出來討論過。不知道最後是不是會成真。
Jones 其實也提到了一些事情,比如國防部現在推進中的網路安全成熟度認證什麼的。看起來現階段美國政府針對資安領域的規範,一直都有往前走,只是每個政府著重點可能不完全一樣。你要說這一屆特別強調網安嗎?我覺得多少有點趨勢,但好像歷任也都差不多是這樣。
國防部的快速通道計畫可能成為採購安全軟體的新解方?
「這點一直都沒有什麼大變化,」瓊斯好像是這樣說的。怎麼走到網路安全更好的境地,好像才是大家討論比較久的部分。有些人認為方法不同,每個人心裡都有各自的路線圖。坊間傳說產業裡面,或者政府那邊開發軟體的人——這兩群加起來,數量應該有七八成的人還得再補強資安,這種說法也不是最近才有。是不是所有人都有共識?目前看起來,對於要怎麼改善,大概還有不少分歧,但大家缺乏安全意識或技術這件事,好像沒什麼疑問。
不管政策怎麼變,提升資安防護始終是共同課題
這個網站好像一直有保留權利的聲明,內容大概是在說,不太適合讓住在歐洲經濟區附近或是那一帶的人使用。就算只是一小部分人,也可能會受這些規定影響。感覺上,他們針對地理位置有設下一些限制,大致上就是這樣子吧。
