美國于2021年5月12日發(fā)布了《關(guān)于改善國家網(wǎng)絡安全》的第14028號行政命令（EO），明確要求美國聯(lián)邦政府加強軟件供應鏈安全管控。

EO-14028要求：“第4(r)條，在本命令發(fā)布之日起60天內(nèi)，商務部代理部長（通過NIST局長）與國防部長（通過NSA局長）協(xié)商，應發(fā)布準則，對供應商測試其軟件源代碼給出最低的標準建議，包括確定建議的手動或自動測試類型（如：代碼審計工具、靜態(tài)和動態(tài)分析、軟件組份工具和滲透測試）。”

美國《關(guān)于改善國家網(wǎng)絡安全》的第14028號行政命令（EO）任務及時間線

《開發(fā)人員軟件驗證的最低標準指南》翻譯

2021年7月7日，NIST發(fā)布了《Guidelineson Minimum Standards for Developer Veri?cation of Software（開發(fā)人員軟件驗證的最低標準指南）》。該指南擴展了NIST的安全軟件開發(fā)框架(SSDF)實踐，其目標是確保“關(guān)鍵軟件”足夠安全和可靠，要求供應商根據(jù)最佳實踐設計、構(gòu)建、交付和維護軟件。其核心理念是：驗證是用于提高軟件安全性的一門學科，開發(fā)人員在軟件開發(fā)生命周期(SDLC)中應盡早開展頻繁和徹底的測試。指南描述了驗證所包含的靜態(tài)和主動保證技術(shù)、工具和相關(guān)過程外，還明確指出驗證需要對方法進行持續(xù)的改進和過程支撐，且必須與其他方法一起使用以避免單一工具及方法的局限性。除了最低標準外，該指南還為軟件供應商推薦了高級指南，以幫助它們改進自身的流程規(guī)范。

《開發(fā)人員軟件驗證的最低標準指南》詳細的驗證過程示意圖

指南的主要內(nèi)容如下：

詳細內(nèi)容請參見翻譯文檔。天融信將持續(xù)關(guān)注軟件供應鏈安全及其應用過程的前沿進展，后續(xù)將為您帶來更多精彩內(nèi)容。

掃描二維碼，閱讀完整版譯文

翻譯為公益性質(zhì)，僅供信息安全產(chǎn)業(yè)相關(guān)研究人員、管理人員參考，如有錯漏敬請指正。