第九章 运营技术中的软件透明度

运营技术 （OT） 运行着世界上最关键的流程，从导弹平台和防御任务，到水处理厂和电力，再到关键制造、机场等。通常，这些环境使用气隙隔离网络高度隔离，并且可能有限制外部连接、云或移动功能。正因为如此，我们依赖软件验证的许多技术在这里可能没有用。
例如，当无法访问互联网时，如何验证代码签名证书的证书吊销列表（CRL）与已签名的固件更新之间的匹配程度？如果它与已知的恶意软件存储库条目匹配，那么如何在软件材料清单（SBOM）中查找和识别组件哈希？当无法轻松更新信任信息时，您是否仍然认为传输层安全性（TLS）证书的过期日期过长是一个问题？
此外，在考虑有关国家敌对势力的问题时，这些产品可能是在我们视为敌对的世界地区内制造或由这些地区的业务支持的。软件来源的问题尤其具有挑战性，因为《国防授权法案》（NDAA）和各项行政命令的合规要求都在寻求收回允许向关键基础设施供应产品的国家。
例如，在2020年，第13920号行政命令《美国成批电力系统安全》发布，解决了从美国电网竞争对手采购方面的问题。这一命令之后又颁布了一项禁令，禁止从中华人民共和国采购用于电网的设备。这些命令后来已被撤销，并现在归属于《行政命令14017号，保护美国供应链》。尽管如此，可以明确的是，制定关于关键基础设施和国防供应链风险管理政策仍然是国家的优先任务。
《行政命令14028号》促使了围绕软件透明度的大量活动，包括SBOM（软件构建材料清单）和软件标签等内容，这些内容设计三个主要利益相关者，其中之一是国家电信和信息管理局（NTIA）负责定义SBOM的属性。此任务和其他任务，例如漏洞可利用性交换（VEX）格式的定义，自那时起已转移到网络安全和基础设施安全局（CISA），其主要任务是保护关键基础设施。很明显，在可预见的未来，操作技术环境将继续处于美国软件透明运动的前列。