美国总统行政令要求增强软件供应链安全

这次行政令的颁发时间节点并非巧合，最近刚发生了 SolarWinds 和 Codecov 软件供应链攻击事件，针对开源项目的攻击增长了430%，而且其颁发日正好是因美国最大的石油管道公司之一 Colonial Pipelines 遭攻击而导致美国人出现大规模用油短缺之时。

该行政令要求美国商务部下属机构国家标准技术局（NIST）在6个月内发布软件供应链安全指南，并在1年内发布最终指南。该指南的内容应该包括如何检查漏洞、如何查找缺陷证据、如何确保开源代码和源代码的最新来源，以及如何使用自动化工具验证可信代码的指导。

SBOM 是关于组成软件应用的成分（组件）清单。

当前，太多企业并不清楚自己软件中使用了什么组件，多数企业竟然甚至连看都不看一眼。实际上，当前不到50% 的企业将SBOM 作为标准的软件开发实践。同时，和应用程序中所使用的开源软件组件相关的数据泄露事件每年影响五分之一的组织机构。

任何安全计划的一个基本原则就是了解系统中出现的组件、和这些组件相关的风险以及这种风险的相对严重性。对于软件应用程序而言，它要求组织机构具有 SBOM 以及对组织机构中出现的开源组件完全可见。SBOM 是可以实现这些目标的唯一方法。

如果不具备 SBOM，则意味着企业无法了解软件应用程序中含有哪些已知的开源组件。另外，没有 SBOM，则这些企业注定要挣扎，就像 Equifax 在2017年所经历的那样，来应对开源组件中暴露的 0day 漏洞。每年约有10000多个漏洞公开，而为生产应用配齐 SBOM 有10000个非常重要的理由。

简言之，这份行政令之所以重要，是因为美国联邦政府试图通过联邦采购的力量来塑造整个软件市场。

正如《华盛顿邮报》援引律所 Venable 公司的网络安全策略管理董事 Ari Schwartz 的话提到，“这份行政令对私营企业具有重大影响。在如此众多得计算机安全领域，联邦政府做什么，私营企业就会紧随其后。联邦政府所提的要求可能将成为所有软件的标准，不只影响美国，而且影响全球。“