Home 安全性 遵守美国政府行政命令 14028

遵守美国政府行政命令 14028

尊敬的客户和合作伙伴:

我们自豪地宣布,我们已遵守美国行政命令 (EO) 14028:“提高国家网络安全”。这一里程碑凸显了我们坚定不移地致力于提升我们产品的安全性和韧性,以及我们对服务于美国政府的合作伙伴的支持。

为符合 EO 14028 的指示,我们已实施了多项关键举措,包括针对以下方面的标准、程序和准则:

  1. Maintain a secure software development environment, including actions such as:
    • 使用独立的构建环境
    • 审核信任关系
    • 对源代码库使用基于风险的多因素身份验证和条件访问
    • 加密关键数据
    • 监控操作和警报,并对网络事件作出响应
    • 在被要求时,向美国联邦政府机构提供证明符合上述流程的工件
  2. 定期运行自动化工具以检查:
    • 维护受信任的源代码供应链,从而确保代码的完整性
    • 了解并修复代码库中已知的潜在漏洞
    • 在被要求时,向美国联邦政府机构提供运行自动化工具的证据
  3. 维护和定期审核内部及第三方软件代码和组件的准确、最新数据及其来源(即原始出处)。
  4. 实施了一个包含报告和披露流程的漏洞披露计划。
  5. 通过安全软件认证证明符合安全软件开发实践。
  6. 在切实可行的范围内,确保我们产品中使用的任何开源软件的完整性和来源。
  7. 建立内部流程,为销售给美国联邦政府的 Fiery 产品生成软件认证和其他工件(如软件物料清单 (SBOM)),并上传至网络安全和基础设施安全局 (CISA) 的软件认证和工件存储库 (RSAA)。

常见问题解答 (FAQ)

EO 14028是什么?

EO 14028 是美国总统于 2021 年发布的一项行政命令。该命令旨在应对针对美国政府机构和关键基础设施日益增多的网络攻击。其目的是帮助美国政府和私营部门携手合作,更好地保护自己免受这些威胁。EO 14028 的一个重要方面是建立了一个框架,以改善软件供应链的安全性。

为什么 EO 14028 对 Fiery 很重要?

Fiery 合作伙伴积极向美国政府销售产品和服务,并要求所有 Fiery 软件遵守这项行政命令。

哪些 Fiery 产品受 EO 14028 影响?

2022 年 9 月 14 日后开发的所有 Fiery 软件应用程序。

美国政府机构何时开始执行 EO 14028 的合规性?

自 2024年 6 月 11 日起,
“在共同表格批准后的 3 个月内,机构应收集软件提供商未公开发布的‘关键软件’认证信。”共同表格于 2024 年 3 月 11 日获得批准。

EO 14028 如何处理现有软件版本的更新?

受主要版本更改影响的现有软件(例如,使用主要.次要.修补程序的语义版本控制模式,或软件版本号在 2022 年 9 月 14 日后从 2.5 变为 3.0)必须遵守这项行政命令。Fiery 软件遵循三位数的版本控制模式,依次为“主要”、“次要”、“修补程序”。例如,v1.0.2;其中 1 是主要版本,0 是次要版本,2 表示修补程序或安全更新。对于 EO 14028 的合规性目的,Fiery 软件仅考虑主要版本。次要软件更新(例如 CWS 7.1.0)和修补程序(例如 CWS 7.1.1)不在此行政命令的范围内。

EO 14028 如何处理软件即服务 (SaaS) 产品?

生产者持续更改其代码的软件(如软件即服务产品或使用持续交付/持续部署的其他产品)受影响,并且必须遵守这项行政命令。

除了安全软件认证外,是否还有其他要求来证明合规性?

应任何美国政府机构的要求,我们可以证明符合安全软件开发实践 (SSDP),并提供相应的支持工件,如产品的软件物料清单 (SBOM)。

Fiery 安全软件认证是否会包括与 Fiery 数字前端捆绑的第三方软件?例如,Adobe 软件或 Microsoft 软件。

不会。提供产品认证是第三方软件制造商的责任。

那么 Fiery 数字前端随附的开源软件呢?

Fiery 数字前端随附的第三方开源软件不在此法规的范围内。

如需了解更多关于我们网络安全举措的信息,请访问我们的网站:https://www.fiery.com/security/