拜登签署行政令，要求保护美国关键供应链（含信息技术）的安全

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

美国当地时间2月24日，美国政府在白宫网站发布消息称，总统拜登将签署行政令，为包括信息技术在内的关键和重要商品构建更有弹性、更安全的供应链。

网站指出，近年来美国遭遇了药品、食品以及计算机芯片等重要产品短缺的危机，因此美国应当具有在面对这些挑战时快速应对的能力。本行政令表明了本届政府全面解决供应链风险的决心，确保供应链安全为美国人创造更多更好的工作机会。

该行政令要求联邦部门和机构全面审查美国供应链安全，找到确保供应链免受大规模风险和漏洞的方法。构建更有弹性的供应链将使美国免遭关键产品短缺的境况，并确保美国的国家安全。

首先，该行政令要求联邦机构立即启动为期100天的审查活动，解决四大关键产品供应链中的漏洞。这四大关键产品包括：

• API（活性医药物成分）：确保抗击新冠肺炎疫情所需的供应链的安全。

• 关键矿物质：如稀土等，是国防、高科技及其它产品的关键组成部分。确保美国在紧急状态时不依赖于外国来源或单点失误。

• 半导体和先进半导体封装。白宫认为在生产领域投资过少从而影响了美国的创新能力，让其它国家迎头赶上。

• 大容量电池，如用于电动汽车的电池。文章指出将找到该领域供应链风险，加速美国在清洁能源技术领域获得领先地位，如利用锂储备和制造专业知识扩大国内的电池生产规模。

为期100天的审查将找到美国本届政府能够采取的短期措施，其中包括和国会一起解决这些关键产品供应链中的漏洞问题。

第二，行政令呼吁对更广范围的美国供应链开展为期一年的更深入的审查。该审查将包括：

• 关注六大关键行业：国防工业基地；公共卫生和生物防备产业基地；信息通信技术产业 (ICT) 产业基地；能源部门的工业基地；交通运输产业基地；以及农产品和粮食生产供应链。

• 相关机构在评估供应链漏洞时需要考虑的风险：要求相关机构和部门审查供应链和产业基地的多种风险。例如，审查必须找到供应链中的关键商品和物料；生产这些物料所需的制造或其它能力，以及未能开发国内能力而造成的多种漏洞。同时相关机构和部门还需找到关键制造和生产资产的位置、关键商品的可替代物或资源、所有行业的劳动力技能水平和差距以及运输系统在支持供应链和工业基地中的作用。

• 提升弹性方面应该采取的措施建议：要求相关机构给出具体的风险解决策略建议，以及新型研究开发活动的提案。

• 对供应链弹性的持续承诺：政府将致力于定期地、持续地审查供应链弹性，包括每四年一次的审查流程。

• 与外部利益相关者进行磋商：政府自身无法确保供应链的安全，需要与美国人民建立合作伙伴关系并进行磋商。要求美国政府与外部利益相关者进行广泛协商，如行业、学术界、非政府组织、社区、工会等。

美国总统拜登在新闻发布会上表示，确保供应链安全、富有弹性不仅是经济安全的要求，也是国家安全的要求。

近几个月来，SolarWinds 攻击事件引发人们对网络安全供应链安全性的重视，该攻击事件导致美国的九家机构和约100家企业受影响。本周三，美国参议院情报委员会就 SolarWinds 攻击事件举行了听证会，立法机构询问了关于黑客通过美国服务器发动攻击的问题。而亚马逊 AWS 拒绝参加听证会的邀请。亚马逊 AWS 的一名发言人指出，AWS 并未使用SolarWinds 公司的软件，因此并未受影响，不过承认黑客确实使用了 EC2（Amazon Elastic Compute Cloud），不过其它多家服务提供商也遭到类似的利用。

推荐阅读

“依赖混淆”供应链攻击现身 微软苹果特斯拉优步等超35家企业内网失陷

坐火车太无聊，我溜入微软 VS Code官方GitHub仓库，但没敢发动供应链攻击

SolarWinds 供应链攻击中的第四款恶意软件及其它动态

原文链接

https://www.whitehouse.gov/briefing-room/statements-releases/2021/02/24/fact-sheet-securing-americas-critical-supply-chains/

https://www.cyberscoop.com/biden-executive-order-supply-chain-security/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~