2025 年 1 月 16 日发布的《关于加强和促进国家网络安全创新的行政命令》凸显了白宫在保护美国关键基础设施和数字生态系统方面的决心。由于网络威胁持续演变，该行政命令提出了一系列大胆举措，以加强联邦机构和私营部门的网络安全。通过强调协作、技术创新以及软件开发和部署的最佳实践，该命令为更加安全的数字未来奠定了基础。在此过程中，第 2 节特别关注了 Software Bill of Materials (SBOM) 的重要性——这一主动举措旨在确保软件供应链更透明、更具问责性，也更值得信赖。

链接到白宫行政命令：Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity

 

1. 行政命令概述与背景

本行政命令建立在此前加强国家网络安全的相关措施之上，同时也明确了联邦政府和私营部门的职责分工。以往的措施涉及零信任架构（Zero-Trust）、应对外国网络对手的威胁，以及风险管理框架的改进。然而，网络攻击日益复杂且对第三方供应商和外包组件的依赖不断增加，这使得需要更全面、更细致的指令来应对挑战。

本命令直面这些问题，通过强化最佳实践、强制合规要求以及建立坚实的公私合作伙伴关系来推动网络安全升级。涵盖的范围包括实时威胁共享、开发安全的新技术以及为软件生命周期注入更多问责机制等，从而最大程度地减少可能被不法分子利用的漏洞。

2. 第 1 节：加强联邦系统

本命令的第一节重点在于对联邦基础设施的现代化改造，鼓励各机构采用既敏捷又面向未来的网络安全措施。明确要求包括对静态和传输中的数据进行加密，以及开展定期漏洞评估。此外，政府部门必须加快淘汰传统系统，并采用云端或容器化解决方案，从而便于更新补丁并增强系统灵活性。

第一节中最核心的一项要求，是在各机构推行 Zero-Trust Architecture。通过消除网络内部的隐性信任并在每个阶段都进行身份验证，机构可以更好地保护敏感数据。这同时要求制定详细的事件响应协议，以便在出现安全事件时能够快速遏制和恢复。这些举措旨在为进一步推广 SBOM 等先进措施打下坚实的安全基石。

3. 第 2 节：聚焦 Software Bill of Materials (SBOM)

本命令的第 2 节可谓核心条款，其重点是提升软件供应链的透明度。该条款要求所有向联邦政府提供软件的生产商或供应商必须随软件提供 SBOM。SBOM 本质上是一份层次化清单，列出了所有构建该软件的开源、专有或商业组件。

通过要求提供 SBOM，第 2 节旨在解决软件供应链的盲点。当某个关键安全漏洞浮现（如曾经影响广泛的某些开源库漏洞），联邦机构和私营部门可以借助 SBOM 迅速定位使用了该有风险组件的软件，从而缩短暴露窗口并提高修补效率。该条款还强调 SBOM 的及时更新，确保每次更新或修补都会同步更新组件清单。

4. 实施 SBOM 的益处

在联邦采购流程中引入 SBOM 带来了多重收益。首先，它能明确软件组件的来源和责任归属，包括开源贡献者和专有开发者。高度透明度使各供应商与联邦机构更加重视所使用或集成的所有组件。

其次，SBOM 有助于积极管理漏洞。以往在发现漏洞或发生安全入侵后，往往需要紧急审查所有相关产品来定位风险组件。有了 SBOM，管理人员可以快速检索可能受影响的依赖，从而更加精准地部署补丁并缩短处置时间。

第三，SBOM 的强制性也推动了自动化工具的创新。越来越多的供应商会投资开发自动跟踪和更新组件的解决方案，以实时掌握代码库的动态变化，既能够满足本行政命令的合规要求，也能在激烈的市场中保持研发和创新的速度。

5. 与私营部门的合作

联邦政府深知新规的影响会波及更广阔的经济领域，因此指令要求各机构与行业领军企业、软件提供商和标准组织密切协作，共同制定 SBOM 的最佳实践与维护标准。白宫也鼓励以统一的机器可读格式来提供 SBOM，确保各行业的 SBOM 能保持一致性。

此外，为避免给中小型企业带来过度负担，本命令提出相应的措施，包括技术与资金扶持、教育培训以及示范模板，帮助这些企业更轻松地融入 SBOM 的管理和实施流程。

6. 建立持续改进的文化

本命令不仅仅是对新流程的强制推行，也为持续改进创造了条件。第 2 节要求各机构对收到的 SBOM 进行频繁的可用性、完整性和有效性反馈，并将结果纳入标准的迭代更新。如果某个组件或方法持续出现问题，这些数据可用于改进软件产品本身或完善 SBOM 的制作准则。

同时，命令还设想建立安全的公共或私有数据库，用于存储机器可读的 SBOM 数据。将这些信息集中起来后，便可以进行更广泛的趋势分析和风险建模，甚至开展高级威胁检测，因为整合后的大数据更能揭示潜在的模式与问题。

7. 第 3 节：研究、开发与试点项目

如果说第 2 节重点在于联邦采购流程中对 SBOM 的要求，那么第 3 节则将网络安全的议题扩展到更前沿的研究与试点项目。这些项目包括量子抗性加密技术的研究，旨在应对量子计算商业化带来的潜在漏洞。同时也提到测试最新的人工智能驱动安全工具的试点项目。

这些试点项目与 SBOM 的要求互为补充——联邦机构将评估如何利用先进技术更好地自动化生成并管理 SBOM，以及如何将实时漏洞扫描功能融合到这些流程中。各机构从试点项目中获得的反馈，将影响后续立法与政策的修订，可能会对现有要求进行扩充或调整。

8. 执行、期限与后果

为强调本命令的严肃性，行政命令为合规设定了明晰的时间表。通常在发布后 6 至 12 个月内，联邦各部门就必须在采购环节中正式纳入 SBOM 要求。未能达标的承包商或供应商将面临丢失联邦合同或被强化监管等不利后果。

此外，本命令还指示网络安全和基础设施安全局 (CISA) 等相关机构建立更严格的审计机制，包括对重要供应商的抽查和对 SBOM 内容的核验，确保其完整性与实时更新。这一举措突显了合规不仅是形式，而是一项需要持续投入与维护的义务。

9. 未来影响与结语

2025 年 1 月 16 日的本行政命令是加强美国网络安全的一大里程碑。通过强制推行 SBOM，白宫有效地推动软件行业朝着“透明为默认”而非事后补救的方向发展。尽管在 SBOM 的制作和应用上可能会面临挑战，尤其是对新手企业而言，但总体而言，这些举措能提高关键基础设施的防御能力，并在面对威胁时作出更迅速和更具针对性的回应。

从创新角度看，本命令对先进技术、公私协作以及面向未来的方法给予了高度重视。通过要求各机构采用 Zero-Trust 框架，并让软件开发商承担对其组件的责任，联邦政府为将网络安全塑造成一种持续、深度且具有前瞻性的机制奠定了基础。

归根结底，本行政命令宣告了一个新时代的到来，将数字安全视为国家整体福祉的核心支柱。其对 SBOM 的重视体现了一种从被动到主动的转变；借助全面了解软件应用背后的组件，政府和行业能够更快、更准确地应对漏洞。结合不断推进的研究、试点项目以及强有力的执行体系，这些措施有望在抵御不断演变的网络威胁的同时，持续为网络安全领域带来更多的技术进步和创新。