導讀 政府機構系統,理論上需要最高安全性,加上現在供應鏈資安攻擊肆虐,美國政府之前公布新規定,要求公營機構限期內提供使用軟體安全認證,不過供應商未能及時提供文件,因此需要延期。 美國聯邦政府要求公營機構 ...
政府機構系統,理論上需要最高安全性,加上現在供應鏈資安攻擊肆虐,美國政府之前公布新規定,要求公營機構限期內提供使用軟體安全認證,不過供應商未能及時提供文件,因此需要延期。
美國聯邦政府要求公營機構 9 月 14 日前提供軟體安全認證,認證應由軟體供應商提出,證明軟體符合國家標準暨技術研究院(NIST)的安全軟體開發框架。不過供應商未能配合,最近行政管理和預算局發出備忘錄,延後期限。
同時網路安全暨基礎設施安全局(CISA)也在草擬通用證明表格,使供應商更容易提供合規證明,表格 4 月擬定草案,仍未完成諮詢階段。軟體開發商 Chainguard 總裁 Dan Lorenc 表示,延長期限讓他們和公營機構都鬆一口氣,現在仍在了解要求,確保軟體合規並夠安全,同時平衡生產力和創新。
公營機構方面除了需要確認現在系統採用什麼軟體,開源軟體也需嚴格審查。軟體越來越複雜後,使用開源和第三方應用,逐一分析審查也相當耗時,但為了確保供應鏈不受攻擊,這無可避免。
(本文由 授權轉載;首圖來源:)
關鍵字: , ,
標題:服務供應商來不及準備,美國政府放寬公營機構軟體安全認證期限
地址:https://www.utechfun.com/post/227038.html