12.2 美国政府供应链影响市场的力量

虽然数字因来源而异，但不可否认，美国政府的IT和软件支出市场意义重大。来源估计，美国联邦政府在2023财年的预算超过650亿美元（www.whitehouse.gov/wp-cont/uploads/202/203/ap_16_it_fy2023.pdf）。这比上一个2022年580亿美元的预算有所增加，表明联邦IT支出在民事分支机构中持续增长（见图12.2）。

在国防方面，2023财年国防预算要求为7730亿美元。虽然这一预算的很大一部分不是特定于技术和软件的，但其中一部分是，正如所讨论的，越来越多的现代战争系统和平台也由技术和软件提供动力。当然，这项支出与美国联邦政府的DoD无关，不包括其他美国政府市场，如州和地方政府实体，他们有自己的IT支出预算和消费。这并不是说所有的IT支出都与软件有关，但正如我们在本书中所讨论的，几乎所有的现代技术都是由某种形式的软件提供动力的。这意味着，当美国政府领域出现新的政策、监管或合同要求时，这些变化最终会影响到整个技术和软件行业的很大一部分。许多人认为，由于美国政府从许多与更广泛的社会相同的供应商那里购买软件，他们新出现的要求将对整个行业产生影响，甚至在政府部门之外。

我们讨论过的要求，如要求使用安全的软件开发实践，深入了解软件中的组件，以及建立漏洞披露程序等机制，不仅会影响成百上千与美国政府合作的软件供应商，还会影响那些与数千商业软件消费者合作的供应商，不可避免地还会影响全球数百万人 。

其他人也提出，政府采用的NIST标准，如安全软件开发框架（SSDF）和其他软件供应链指南，也可能被商业部门实体自愿采用。一个流行的例子是NIST于2014年发布的网络安全框架（CSF），这是时任总统奥巴马之前发布的题为“加强联邦和关键基础设施的网络安全”的行政命令（EO）的结果。该行政命令规定美国联邦政府机构必须使用CSF，但正如NIST在其CSF常见问题解答中指出的那样，与美国联邦政府不同，许多私营部门组织现在使用CSF，尽管它们是自愿的（www.nist.gov/cyberframework/frequently-asked-questions/framework-basics）。

其他例子包括指导和框架，如Fed RAMP，它只适用于与联邦政府合作的云服务提供商，但它已成为商业部门云安全的领先例子，在云安全联盟（CSA）的云控制矩阵（CCM）等商业框架和指导中被引用。我们还讨论了Do D新兴的网络安全成熟度模型认证（CMMC），它影响了与DoD合作的30多万国防工业基地（DIB）供应商，并促进了围绕供应链风险管理的更广泛讨论，涉及到组织供应链中的供应商，而不仅仅是软件。

这里值得指出的一点是，2022年末发布的一项调查发现，大多数DIB供应商没有做好满足这些新要求的准备，87%的承包商在《国防联邦采购条例补充》（DFARS）要求中得分不合格，即承包商在所谓的供应商绩效风险系统（SPRS）中自我报告得分。

也有报告称，一旦由第三方评估，自我认证的分数与现实不符，当我们看到新兴的软件供应链要求（如OMB M-22-18）也要求第三方软件供应商就其安全开发实践的使用进行自我认证时，这应该引起关注。当涉及到合同和收入时，自我认证面临着诸如客观性和透明度等挑战（https://cybersheath.com/more-than-87-of-vangle-supply-chain-fails-basic cybersecurity minimums）。

许多人认为，政府的规模和范围往往会导致商业行业在要求和方法方面处于领先地位。这意味着，虽然SBOM和与安全软件开发相关的证明可能只是联邦部门的硬性监管要求，但它们也很可能进入商业实践，尤其是在金融和医疗等其他受监管和安全意识强的行业