关于加强国家网络安全的行政命令

4 (e) (i) (A)至(F)

此类指导应包含关于以下方面的标准、程序或准则：
(i) 安全软件开发环境，包括采取以下措施：
(A) 使用行政上独立的构建环境；
(B) 审计信任关系；
(C) 在企业范围内建立基于风险的多因素认证和条件访问机制；
(D) 记录并最小化对企业产品的依赖（这些产品是用于开发、构建和编辑软件的环境组成部分）；
(E) 对数据实施加密；以及
(F) 监控操作和警报，并对网络安全事件的尝试和实际发生作出响应；

在评估第三方软件安全实践时，应充分利用行业公认的标准化风险评估问卷模板，包括标准信息收集（SIG）、NIST、CMMC以及Prevalent TPRM平台内置的相关评估工具。通过在供应商体系中采用统一的标准化评估方案，可确保各机构更高效地比较供应商的软件安全实践水平。

注：机构还可利用主流供应商风险网络，该网络包含已完成的安全风险评估，可加速风险识别流程。

在评估第三方安全软件开发实践时，可借助Prevalent平台集中的证据管理功能，该平台内置任务与验收管理模块，并配备强制上传特性。安全文档库确保相关方能够及时查阅文档及开发成果。

4 (e) (iii)

(iii) 采用自动化工具或类似流程来维护可信源代码供应链，从而确保代码的完整性；

参见上文第4(e)(i)(A)-(F)项。

4 (e) (iv)

(iv) 采用自动化工具或类似流程，定期检查已知及潜在漏洞并进行修复，该流程至少应在产品、版本或更新发布前运行；

第三方必须对其软件和代码中的漏洞进行扫描、分级处理和修复，并提供相应证明。 但威胁远不止于此。安全团队还需监控互联网和暗网中的网络威胁、泄露凭证或其他入侵迹象——若未被及时发现，这些都可能成为入侵联邦系统的通道。Prevalent供应商威胁监控系统将情报源直接整合至Prevalent平台，确保组织全面掌握风险态势——无论风险是通过定期评估还是持续监控发现。

4 (e) (v)

(v) 应购买方要求，提供本节(e)(iii)和(iv)款所述工具及流程的执行记录，并在完成上述操作后公开相关摘要信息，其中应包含对已评估及缓解风险的简要说明；

主流的供应商风险管理平台通过嵌入式机器学习洞察，揭示单个供应商或供应商群体的风险趋势、状态、补救措施及异常行为。这使团队能够快速识别评估、任务、风险等环节中的异常值，从而确定需要进一步调查的对象。

4 (e) (vi)

(vi) 维护准确且最新的数据、软件代码或组件的来源（即起源），并对软件开发流程中存在的内部及第三方软件组件、工具和服务实施管控，并定期对这些管控措施进行审计和执行；

Prevalent能自动将内部审计收集的信息映射至本EO适用的标准或监管框架——包括NIST、CMMC等——从而快速可视化并解决关键控制缺陷，同时验证实践合规性。

4 (e) (vii)

(vii) 向购买者提供每款产品的软件物料清单（SBOM），可直接提供或通过在公共网站上发布实现；

参见上文第4(e)(i)(A)-(F)项。

4 (e) (viii)

(viii) 参与包含报告和披露流程的漏洞披露计划；

参见上文第4(e)(i)(A)-(F)项。

4 (e) (ix)

(ix) 证明符合安全软件开发实践；以及

参见上文第4(e)(ii)项。

4 (e) (x)

(x) 在可行的范围内，确保并证明产品任何部分所使用的开源软件的完整性与来源。

参见上文第4(e)(vi)项。