2023年10月10日，美国网络安全与基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）和美国财政部发布了一份关于“提高操作技术（OT）和工业控制系统（ICS）中开源软件（OSS）安全”的新指南。该指南是作为2023年开源软件规划倡议的一部分，与行业和政府合作伙伴共同开发的，旨在帮助操作技术供应商和关键基础设施实体更好地管理OSS使用所带来的风险，提高系统的安全性和韧性。

该指南主要针对组织使用开源软件时面临的软件安全挑战，提供了相关的建议，以提高安全性和改善风险管理，包括：

（1）供应商对开源软件的开发和维护支持，包括参与开源软件和补助金计划，与现有的开源软件基金会合作，支持软件开发生命周期中的安全工具和最佳实践。

（2）管理漏洞，包括通过请求免费的网络卫生服务来降低风险暴露，并利用现有的指导和资源参与漏洞协调。

（3）补丁管理，包括推广对OT/ICS环境中的补丁部署过程的独特理解，并维护一个完整的更新资产清单，以便最好地识别软件和硬件产品以及IT和OT环境中的开源组件。

（4）改善身份验证和授权策略，包括使用唯一且可验证的身份识别用户帐户，实施多因素身份验证，并将安全默认实践与最小权限相结合。

（5）建立通用框架，包括开发和支持开源软件办公室，支持安全且可信赖的开源软件消费实践，并维护软件资产清单。

这项持续的规划与合作支持了国家战略中的具体目标，即扩大公私合作关系，加强网络安全办公室的开源软件安全计划（OS3I），并补充了网络安全局的开源软件安全路线图，以安全的发展开源软件。

信息来源：

https://www.cisa.gov/news-events/news/cisa-government-and-industry-partners-publish-fact-sheet-organizations-using-open-source-software