软件安全新动态：联邦政府的最新指导

关键要点

• 联邦政府近期发布了关于软件安全的多项重要指导，包括备忘录 M-22-18 和软件供应链安全实践指南。
• 执行命令（Executive Order, EO）并不具备法律效力，未来新政府可能会改变相关政策。
• 软件提供商面临的合规性要求与供应链安全相关，但目前仍存在覆盖范围的不足。
• 参议院提出的法案 S.4913 强调开源软件质量，并与 EO 相辅相成。
• 公司需要认真评估如何适应新的指导，并与合适的合作伙伴一起应对即将到来的挑战。

随着多年来对软件安全的沉默，联邦政府终于行动起来，发出了一系列新的指导。就在过去一个月，拜登政府发布了备忘录
，这是对

发布的 的后续。此外，九月份还发布了
。国会还提出了关注开源和供应链安全问题的立法草案
。在如此短的时间内，联邦承包商需要考虑大量的新指导。

执行命令不是法律

执行命令 14028 的目标是授权
要求行政部门遵循网络安全指南。新发布的备忘录 M-22-18 只是对 EO 中一些内容的补充，并阐明了监督机制。然而，作为一项
EO，它并不具备国会通过法律的效力和持久性。这一点至关重要，因为白宫的下一任领导者可能会签署命令撤回之前的 EO，或者允许其继续存在。

覆盖范围存在漏洞

软件供应商必须遵循 EO和备忘录，但仅适用于某些类型的产品：新软件购买、重大版本升级和软件续订。不包括小型软件更新、直接下载的开源包以及在行政部门内由联邦雇员或其承包商开发的软件。即使是机密的商业软件也可免于这些要求。要求的生效范围并不全面，许多仍在使用的过时软件是否受到
EO 要求的约束尚不明确。

自我认证的风险

软件供应商被允许对自身产品的安全性进行“自我认证”，这可能导致滥用，特别是与第三方认证相比。在联邦合同数以千万计的环境中，软件供应商可能感到压力，夸大自己的产品安全性。然而，面临这样要求的行政机构可能发现自己难以在备忘录设定的加速时间表内完成合规要求。甚至在没有获得延期的情况下，受影响的公司也有充足的时间来符合要求。备忘录规定，自发布之日起，关键软件有
270 天的时间，其余软件有 365 天的时间完成自我评估表。

SBOM的价值有限

虽然联邦政府呼吁软件材料清单（SBOM）的重要性，但备忘录和近期的实践指南对其的接纳程度有限。SBOM被视为行政机构可选择的要求，具体取决于软件的重要性。虽然国立电信和信息管理局（NTIA）定义了SBOM的最低要求，但这一标准较低，可能削弱了供应商的责任。

参议院法案的提出

为了确保立法部门在软件安全中的作用，参议院最近提出了法案 S.4913（《2022年保护开源软件法》），由彼得斯参议员和波特曼参议员于 9 月 21日共同提出。该法案覆盖了一些与 EO 相同的领域，但重点