从美行政令看软件供应链安全标准体系的构建

作     者：董国伟 

作者机构：奇安信集团代码安全事业部 

出 版 物：《中国信息安全》 (China Information Security)

年 卷 期：2022年第2期

页      面：84-87页

学科分类：03[法学] 0302[法学-政治学] 030206[法学-国际政治] 08[工学] 0839[工学-网络空间安全] 

主　　题：供应链安全 安全标准体系 行政命令 攻击事件 太阳风 体系的构建 

摘      要：近年来,全球软件供应链安全攻击事件持续高发,且危害越来越大。2020年底和2021年底分别爆发的太阳风网络攻击事件和Log4j网络攻击事件使得美国更加重视自身的供应链安全防护。2021年5月12日,美总统拜登签署了“关于改善国家网络安全(EO 14028)的行政命令,其中的第4节针对“加强软件供应链安全提出了一系列具体要求,旨在迅速改善美国软件供应链的安全性和完整性,特别是优先解决关键软件的问题。要求中大部分内容涉及标准、指南、措施的制定修订及对美联邦机构遵守和使用它们的限定。本文分析了这些标准指南的主要作用和侧重,并对我国软件供应链安全标准体系的建设提出了建议。