文章总结： 美国白宫发布备忘录，摒弃针对联邦供应商的单一标准化网络安全表格，转向基于风险的评估方法。新政策允许各机构利用软件物料清单（SBOM）管理供应链安全，取代此前负担过重的流程，旨在满足定制化需求并适应软件动态变化。 综合评分： 75 文章分类： 政策法规,供应链安全,安全建设

完全转向！美国白宫修改政府供应商软硬件产品安全证明要求

安全内参编译 安全内参编译

安全内参

2026年1月29日 17:56 北京

关注我们

带你读懂网络安全

美国白宫发布备忘录，摒弃了此前针对联邦供应商产品网络安全的单一标准化软件证明表格，改为采用基于风险的评估方法，允许各机构采用软件物料清单来管理供应链安全。

前情回顾·美国政府网络安全动态

• 美国政府新版网络安全战略将寻求修订核心网络安全政策
• 美国联邦政府2026财年网络安全预算将超830亿元
• 特朗普政府发布加强国家网络安全的行政命令
• 美国众议院通过法案：强制政府供应商设立漏洞披露计划

安全内参1月29日消息，美国白宫撤销了2022年发布的一项命令。该命令要求联邦机构使用单一、标准化的自我证明表格，从软件供应商获取它们的网络安全保障情况信息。白宫表示，这一政策妨碍了各机构根据自身系统需求采用合适的安全解决方案。

1月26日，白宫管理与预算办公室（OMB）发布M-26-05《采用基于风险的软件和硬件安全方法》备忘录称，“不存在一种通用的方法能实现这一目标。每个机构都应该运用安全开发原则，并基于全面的风险评估，来验证供应商的安全性。”

美国前总统乔·拜登于2021年5月签署了具有里程碑意义的第14028号行政令，推动了最初备忘录的发布。行政令旨在回应大规模的太阳风（SolarWinds）入侵行动，该行动导致多个联邦机构遭到破坏。

软件证明通常是由供应商出具的一份声明，用于说明在构建某一软件产品时所采用的安全控制措施和开发实践。它可以帮助政府客户了解其在供应链风险方面的暴露情况，并在漏洞或入侵事件发生时明确责任归属。

OMB发布的新备忘录称，这一“未经验证且负担沉重”的流程“分散了各机构制定定制化软件保障要求的精力，并且未能考虑不安全硬件所带来的威胁”。

备忘录还指出，各机构仍应保持完整的软件和硬件清单，并制定与其风险判定和任务需求相匹配的软件和硬件保障政策与流程。

文件指出，各机构仍可使用在拜登时期备忘录下制定的政府范围内的软件证明表格，但“也可以选择采用合同条款，要求软件生产商在提出请求时提供最新的软件物料清单（SBOM）”。

软件物料清单（SBOM）相当于一份软件配方清单，用于列出软件在开发和部署过程中所使用的各类组件，并可帮助网络防御人员洞察产品中存在漏洞或已被入侵的部分。

美国云安全公司Wiz全球公共事务负责人、白宫首席信息官办公室前主任迈克尔·克拉齐奥斯表示：“通过鼓励一种按需推荐SBOM的现代化做法，白宫正顺应软件具有动态性、始终处于变化之中的现实。这是在现代软件时代应对安全问题的一种明智做法。”

参考资料：nextgov.com

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参 安全内参编译 安全内参编译《完全转向！美国白宫修改政府供应商软硬件产品安全证明要求》