编译：代码卫士

美国管理和预算办公室 (OMB) 发布关于联邦机构何时以及如何从软件厂商处收集安全保证的指南。

(相关资料图)

去年，OMB基于美国总统拜登在2021年5月发布的网络安全行政令，发布了一份备忘录 (M-22-18)，要求联邦机构从软件厂商处获得关于所提供软件是安全的相关保证。

M-22-18不但要求对所有在2022年9月14日之后所开发软件的证明，而且还指出，如果在此日期前所发布的软件收到重大更新或者用作服务并收到持续更新，则也应当提供相关证明。

这类保证一档至少以自证表格的形式提供，但联邦机构也可要求提供软件物料清单 (SBOM) 以及其它工件，或者要求厂商运营漏洞披露计划。

该指南同事要求联邦机构列出需符合这些要求的所有软件，与厂商建立沟通渠道并获得必要的证明。

OMB 在上周五发布新的备忘录（M-23-16）中，重申了此前要求并为机构扩展了需获得证明的时间线。此前，联邦机构需在270天内获得关键软件的证明并在一年内获得其它软件的证明。

M-23-16规定，关键软件的证明应当在OMB 根据《文书缩减法案 (PRA)》批准CISA M-22-18常用证明表单的不超过三个月的时间内获取。OMB批准常用表单的六个月内应当获得所有其它软件的证明。

5月1日，CISA 发布自证表格草案收集公开意见，收集时间为60天。CISA将在查看反馈并给出潜在变化后发布新版本。

在新的备忘录中，OMB 指出，联邦机构无需获得第三方软件组件的证明，而应当考虑使用专有但免费获取并公开可用软件（如web浏览器）的风险，另外即使是承包商以机构的名义部署、配置或修改的软件也应当提供证明。

此外，如果软件厂商无法提供软件证明，但提供了关于无法证明的实践文档，则联邦机构需要将此事通知给 OMB 并获得对证明最后期限的延期。不过，联邦机构仍可继续使用这类软件。

原文链接

https://www.csoonline.com/article/3698189/gigabyte-firmware-component-can-be-abused-as-a-backdoor.html

关键词：