🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

美加强供应链、漏洞披露、机密情报和数据隐私方面的立法和控制

综合编译 代码卫士 2022-04-06
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
美国近期加强了在保护供应链安全、漏洞披露、机密情报、网民数据隐私管理方面的控制。如下是对近期媒体相关报道的编译。
商务部发布执行白宫供应链安全指令的法规提案
当地时间本周二,美国商务部概述了将如何执行白宫授予其禁止美国IT和通信供应链行业使用外国零部件的更广泛的权力。商务部部长Wilbur Ross 将“采取具体案例具体分析”的方式来判断向哪些公司发布禁令,同时结合美国国土安全局和国家情报总监办公室的意见。
提案指出,在最终决定从美国软件和硬件供应链中排除哪家外国公司前,商务部部长将为候选公司提供解决商务部部长疑问并解除禁令的机会。商务部部长将向各方发送非机密裁决以解释最终决定的原因并且适时公开。
今年5月份,美国总统特朗普签署了关于阻止美国公司使用源自被视为外国对手的电信技术,触发了“国家紧急状态”,旨在缩小美国关键基础设施公司从外国收购的软件和硬件方面的安全差距。而这一指令是在多个联邦机构不断发出外国间谍试图渗透美国供应链的警告后发布的。
国土安全局发布要求联邦政府机构颁布漏洞披露策略的征集令
当地时间本周三,美国国土安全部下属的网络安全和基础设施安全局 (CISA) 发布关于建立和公布漏洞披露策略的约束性操作指令 (BOD) 草案,强制民用机构建立和外部安全研究员合作从机构网站和应用程序中查找并修复软件缺陷的计划。
虽然漏洞披露策略的合作精神在企业中很常见,但在政府机构中却很少见。据称目前在数十家联邦政府机构中,只有10家设立了漏洞披露策略。这项征集令要求联邦机构在征集令发布后6个月的时间内设立漏洞披露策略并维护支持处理程序。
该征集令要求发布漏洞披露策略之前,设立机构必须能够收到关于潜在安全漏洞的自发提交的报告。在征集令发布后的6个月内必须以纯文本形式或HTML语言将漏洞披露策略以网页的形式发布。在指令发布180天后,任何新推出的网络可访问系统或服务必须被包含在漏洞披露策略中,否则必须更新策略。在指令发布270天后,以及之后的每隔90天,漏洞披露策略的范围必须有所增加,至少增加一种互联网可访问的系统或服务。指令发布两年后,所有的互联网可访问的系统或服务必须包含于漏洞披露策略内。
在征集令发布180天后,必须设立或更新漏洞披露处理程序,支持漏洞披露策略的实现。这些程序包括描述如何追踪漏洞报告、内部如何协调补救措施、向报告人员发布收到报告的确认邮件、开展内部评估等等。
漏洞披露策略发布后,必须立即上报网络安全和基础设施安全局 (CISA) 关于从使用商业软件或服务中新发现的或未公开的漏洞的有效或可信的可能影响其它政府部门或行业的报告;必须说明 CISA 能在漏洞披露、协调或修复活动中提供或应当知晓的情况,尤其是涉及外部机构时更是如此;以及其它和 CISA 相关的情况等等。
具体可参见:https://cyber.dhs.gov/bod/20-01/
美国情报社区监察长 (ICIG) 要求加强对机密信息的控制
美国情报社区监察长(ICIG)Michael Atkinson发布半年度报告(2019年4月到9月),要求美国政府加大保护机密程度最高的信息的保护IDU,以免遭内部人员删除或泄漏。
报告要求国家情报总监办公室 (ODNI) 必须“提高对可信权限用户不当访问、修改、破坏或提取机密信息所带来风险的管理和缓解的控制”。报告指出,这种潜在风险甚至蔓延到仅供ODNI 中的少数可信人员知晓的机密信息。对此报告还提供了一些并未公开的建议。该报告详细说明了大量旨在提升ODNI和情报社区网络安全的情报社区计划和审计,其中包括检查安全通关流程和减少采购欺诈等计划。未来一年,监察长下属的监察和评估部门将审计互惠互利的情况(即从一个机构获取的安全通关适用于另一个机构的做法)。审计部门将评估美国政府是否在尽力减少安全通关积压的情况(一些候选人员等待在政府部门上岗的时间已经超过数百天)。目前监察长正在审计政府部门关于网络威胁指标信息的共享行为。另外报告还提到了情报部门在采购方面存在的风险,比如合同商的欺诈行为等。
完整报告见:https://www.oversight.gov/sites/default/files/oig-sa-reports/ICIG%20Semiannual%20Report%20-%20April%202019%20to%20September%202019.pdf
美国或颁布类似GDPR 的联邦数据隐私法案COPRAFTC获更多权力
美国参议院商务委员会资深成员参议员Maria Cantwell (华盛顿州民主党人)代表民主党向参议院提交名为《消费者网络隐私权利法案 (COPRA)》的法案,旨在授予美国联邦贸易委员会 (FTC) 在监控技术公司使用消费者数据方面更大的权力。
具体而言,该法案将赋予数据主体要求获得、删除或纠正数据公司所持有的数据的权利。该法案要求公司在收集和共享敏感数据时获得消费者明确的同意。最后它规定禁止企业收集除了消费者已注册的特定服务合理要求数据之外的数据。
该法案还要求建立新的 FTC 部门来执行这些数字隐私权力,并对违规企业施加更严厉的罚款。在该法案通过成为正式法律的两年内,新设 FTC 部门将满员并运营。
 



推荐阅读

美国防部担心开源代码漏洞危害五角大楼供应链安全,计划审查软件来源

2018年,开源供应链这块处女地开始遭到破坏



原文链接
https://www.cyberscoop.com/classified-access-icig-report/
https://www.cyberscoop.com/supply-chain-security-commerce-department/
https://www.cyberscoop.com/cisa-vulnerability-disclosure-order/
https://threatpost.com/federal-data-privacy-bill-tech-giants/150663/




题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存