服務供應商來不及準備，美國政府放寬公營機構軟體安全認證期限

政府機構系統，理論上需要最高安全性，加上現在供應鏈資安攻擊肆虐，美國政府之前公布新規定，要求公營機構限期內提供使用軟體安全認證，不過供應商未能及時提供文件，因此需要延期。

美國聯邦政府要求公營機構 9 月 14 日前提供軟體安全認證，認證應由軟體供應商提出，證明軟體符合國家標準暨技術研究院（NIST）的安全軟體開發框架。不過供應商未能配合，最近行政管理和預算局發出備忘錄，延後期限。

同時網路安全暨基礎設施安全局（CISA）也在草擬通用證明表格，使供應商更容易提供合規證明，表格 4 月擬定草案，仍未完成諮詢階段。軟體開發商 Chainguard 總裁 Dan Lorenc 表示，延長期限讓他們和公營機構都鬆一口氣，現在仍在了解要求，確保軟體合規並夠安全，同時平衡生產力和創新。

公營機構方面除了需要確認現在系統採用什麼軟體，開源軟體也需嚴格審查。軟體越來越複雜後，使用開源和第三方應用，逐一分析審查也相當耗時，但為了確保供應鏈不受攻擊，這無可避免。

• US government extends software security deadline because vendors aren’t ready

（本文由 Unwire Pro 授權轉載；首圖來源：Pixabay）