美國于2021年5月12日發(fā)布了《關于改善國家網絡安全》的第14028號行政命令（EO），明確要求美國聯(lián)邦政府加強軟件供應鏈安全管控。

EO-14028要求：“第4(r)條，在本命令發(fā)布之日起60天內，商務部代理部長（通過NIST局長）與國防部長（通過NSA局長）協(xié)商，應發(fā)布準則，對供應商測試其軟件源代碼給出最低的標準建議，包括確定建議的手動或自動測試類型（如：代碼審計工具、靜態(tài)和動態(tài)分析、軟件組份工具和滲透測試）?！?/span>

美國《關于改善國家網絡安全》的第14028號行政命令（EO）任務及時間線

《開發(fā)人員軟件驗證的最低標準指南》翻譯

2021年7月7日，NIST發(fā)布了《Guidelineson Minimum Standards for Developer Veri?cation of Software（開發(fā)人員軟件驗證的最低標準指南）》。該指南擴展了NIST的安全軟件開發(fā)框架(SSDF)實踐，其目標是確?！瓣P鍵軟件”足夠安全和可靠，要求供應商根據(jù)最佳實踐設計、構建、交付和維護軟件。其核心理念是：驗證是用于提高軟件安全性的一門學科，開發(fā)人員在軟件開發(fā)生命周期(SDLC)中應盡早開展頻繁和徹底的測試。指南描述了驗證所包含的靜態(tài)和主動保證技術、工具和相關過程外，還明確指出驗證需要對方法進行持續(xù)的改進和過程支撐，且必須與其他方法一起使用以避免單一工具及方法的局限性。除了最低標準外，該指南還為軟件供應商推薦了高級指南，以幫助它們改進自身的流程規(guī)范。

《開發(fā)人員軟件驗證的最低標準指南》詳細的驗證過程示意圖

指南的主要內容如下：

詳細內容請參見翻譯文檔。天融信將持續(xù)關注軟件供應鏈安全及其應用過程的前沿進展，后續(xù)將為您帶來更多精彩內容。

掃描二維碼，閱讀完整版譯文

翻譯為公益性質，僅供信息安全產業(yè)相關研究人員、管理人員參考，如有錯漏敬請指正。