2025年6月6日,美国总统特朗普签署了一项对先前行政命令13694和14144的重大修订。这一修订不仅对美国政府的软件供应链安全政策产生深远影响,也引发了业界对于软件物料清单(SBOM)及软件开发安全验证声明(Attestation)要求变化的广泛关注。本文将详细解析此次修订给软件供应链安全领域带来的核心变化,尤其聚焦于SBOM的持续重要性及验证声明的撤销对行业的潜在影响。首先需要关注的是,原行政命令14028未受到此次修订的影响。虽然EO 14144在修订前多次提及EO 14028,但修订后仅保留了一处定义相关的引用。这一调整传递出的信号十分明晰,EO 14028明确要求所有政府采购的软件产品都必须提供详细的SBOM,这意味着对SBOM的强制性需求并未被削弱,反而进一步稳定了其在政府采购制度中的核心地位。
软件物料清单(SBOM)是一种详尽记录软件组件及其依赖关系的文件,对于保障软件供应链的透明度、安全性以及合规性至关重要。随着网络攻击和供应链安全事件频发,SBOM作为防范恶意软件和漏洞传播的关键工具已被广泛认可。此次修订使得SBOM相关规定依然有效,表明美国政府将继续推动软件供应链的透明度,并进一步促进SBOM标准的普及和落地。另一个重要的变化是,未来的行业指导将以美国国家标准与技术研究院(NIST)发布的《安全软件开发框架》(Secure Software Development Framework,简称SSDF)为基础。SSDF在安全软件开发实践中被视为黄金标准,其中包含了对SBOM的推荐做法。基于SSDF构建的未来政策和实施标准有望在保证安全前提下,推动软件开发生命周期的现代化和标准化。
尽管未来的指导细则可能会有所演变,但从当前情况看,SBOM相关的要求和实践很可能会成为持续的行业焦点。此外,针对物联网(IoT)设备的安全规定也保持稳定,且有逐步扩展的趋势。像“网络信任标志”(Cyber Trust Mark)这样的举措不仅强化了对IoT设备安全性能的检验,也在某种程度上推动了SBOM与硬件物料清单(HBOM)结合应用的可能性。考虑到物联网设备的日益普及与复杂性,打造透明可靠的供应链信息交流机制显得尤为重要,比如业界正在推进的“透明交换API”(Transparency Exchange API),有望成为实施SBOM及其联合应用的关键技术路径。与此同时,原本在EO 14144中纳入的软件开发安全验证声明(Attestation)相关条款被明确剔除。这意味着政府在短期内将不再强制要求供应商对其软件开发过程进行官方的安全合规声明。
虽然SSDF文档中仍有限度地提及了验证声明,但其角色显著边缘化。实际操作层面,行业关注点预计将从复杂的开发过程认证转向更为直观的SBOM管理和交换。二者的这一变化或将在未来重新定义政府及行业对于软件安全合规的期待和实施路径。此举背后有可能的考虑是,把有限的资源和精力优先投入到已被广泛接受且能够直接提升安全性和透明度的措施上。相比之下,验证声明因其执行难度和标准不统一,可能在现阶段难以发挥最大效用。未来如果SBOM获得充分广泛的应用,具有完善验证机制的安全声明可能会重新纳入政策议程,但目前来看其急迫性明显降低。
从行业角度看,此次修订无疑促使软件供应链安全的焦点回归基础,即确保产品组成的透明和可信。企业和供应链各方需要加快SBOM的生成、管理、交换以及验证技术的建设,诸如“透明交换API”等机制将扮演重要角色。另一方面,软件开发者和安全专家应密切关注NIST及政府后续发布的指导意见,积极调整自身安全开发流程,体现对SBOM的高质量支持。同时,物联网领域的厂商也应重视将软件和硬件物料清单整合,实现整体供应链的安全改进。尽管对于验证声明的需求有所减少,但行业整体安全意识不可松懈。加强自动化监测、持续合规验证和供应链风险评估依旧是未来发展的关键。
新的政策架构为行业未来的发展指明了方向,为技术创新提供了广阔的空间。总结来看,美国对行政命令14144的修订表明了政府在软件供应链安全领域对SBOM持续重视与支持的态度,同时有意削减验证声明的繁琐要求,使资源配置更聚焦于可立即提升透明度和安全性的领域。对于国内外相关企业而言,深刻理解和适应这一政策调整不仅能够提升合规能力,也将为参与全球软件供应链竞争赢得优势。未来随着SBOM技术成熟和行业规范完善,政府有望逐步推出更明晰、有效的安全标准与认证机制,推动整个软件生态的健康发展。企业应牢牢把握这一转型契机,整合技术与管理力量,打造稳健透明的供应链安全防线。
![Vastaamo (DARKNET DIARIES EP: 159) [audio]](/images/0A45E2A5-4DB2-4B06-80C6-5DAF6E110EE6)
