美国于2021年5月12日发布了《关于改善国家网络安全》的第14028号行政命令（EO），明确要求美国联邦政府加强软件供应链安全管控。

EO-14028要求：“第4(r)条，在本命令发布之日起60天内，商务部代理部长（通过NIST局长）与国防部长（通过NSA局长）协商，应发布准则，对供应商测试其软件源代码给出最低的标准建议，包括确定建议的手动或自动测试类型（如：代码审计工具、静态和动态分析、软件组份工具和渗透测试）。”

美国《关于改善国家网络安全》的第14028号行政命令（EO）任务及时间线

《开发人员软件验证的最低标准指南》翻译

2021年7月7日，NIST发布了《Guidelineson Minimum Standards for Developer Verification of Software（开发人员软件验证的最低标准指南）》。该指南扩展了NIST的安全软件开发框架(SSDF)实践，其目标是确保“关键软件”足够安全和可靠，要求供应商根据最佳实践设计、构建、交付和维护软件。其核心理念是：验证是用于提高软件安全性的一门学科，开发人员在软件开发生命周期(SDLC)中应尽早开展频繁和彻底的测试。指南描述了验证所包含的静态和主动保证技术、工具和相关过程外，还明确指出验证需要对方法进行持续的改进和过程支撑，且必须与其他方法一起使用以避免单一工具及方法的局限性。除了最低标准外，该指南还为软件供应商推荐了高级指南，以帮助它们改进自身的流程规范。

《开发人员软件验证的最低标准指南》详细的验证过程示意图

指南的主要内容如下：

详细内容请参见翻译文档。太阳集团电子游戏将持续关注软件供应链安全及其应用过程的前沿进展，后续将为您带来更多精彩内容。

扫描二维码，阅读完整版译文

翻译为公益性质，仅供信息安全产业相关研究人员、管理人员参考，如有错漏敬请指正。