美国多家政府机构包括CISA、FBI、NSA以及美国财政部，联合发布关于在运营技术 (OT) 环境中提升开源软件安全的指南。该指南与CISA在今年9月发布的开源软件安全路线图一致，旨在促进对在工控系统 (ICS) 和其它运营技术环境中所使用开源软件及其实现的了解以及详述安全使用开源软件 (OSS) 的最佳实践。

该指南就如下方面提供了建议：支持OSS开发、修复漏洞以及使用跨部门网络安全性能目标 (CPGs) 以采用安全最佳实践。指南文档提到，OSS和OT与所有软件系统都存在的安全问题包括：在库和组件中存在漏洞、缺乏商业支持以及实现之前的文档不充足。

指南提到，“OT系统经常暴露在针对控制系统和所运营的关键基础设施的网络威胁行动者视线中。为应对这类威胁，网络安全社区建议防御人员和运营人员通过补丁和安全更新使所有OT和IT系统更新至最新状态，并修复已知的已利用漏洞。”

然而，鉴于存在对其它软件的潜在影响，在OT中应用补丁并不容易。指南建议执行“设计安全”和“默认安全”方法，将OT中的风险最小化。另外，这些机构表示，威胁行动者试图利用安全更新攻击OT供应链并以恶意payload取代合法补丁，使透明度和可验证性成为两个极其重要的供应链风险管理因素。

指南发布机构表示，“含有OSS组件的OT系统的可靠软件供应链确保该系统在并购时按预期运行，以及在使用之前所有OSS组件已得到适当审查。对于一般的软件供应链信息而言也同样适用。”

指南发布机构表示，OT/ICS 行业应当向开发和维护关键OSS项目的个人和群体提供支持、审计和提升漏洞管理和报送流程、执行OT/ICS环境中的补丁部署流程、改进认证和授权策略并设立常用的OSS使用框架。

该指南发布在“保护OT中的OSS”网页，组织机构可访问联合网络防御协作 (JCDC) OSS 规划倡议中的详情，“支持公私行业（包括OSS社区）之间的协作，更好地了解并确保在OT/ICS中安全使用OSS，从而增强OT/ICS网络威胁抵御能力。”

建议OT/ICS组织机构查看该指南并执行相关建议。

一年前，CISA曾发布保护软件供应链安全系列文档，为开发人员、软件供应商和客户提供软件供应链安全保护指南。

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~