美國總務管理局(General Services Administration, GSA)近期在測試一套讓供應商可自願填寫的調查問卷,讓供應商能透過問卷來自行認證其販賣給政府機構的IT產品和服務的真實性和安全性。該問卷包含200 道是非題和簡答題,旨在幫助政府評估有關硬體設計、資料保護和其他網路安全供應鏈風險管理功能的詳細資訊,也希望能減輕業界的負擔。
台灣業者有意成為美國政府採購供應鏈一員,也應了解GSA的採購流程變化,將更有機會成為握有政府採購合約業者的合作夥伴,甚或自己爭取合約機會。測試中的新問卷影響如何,可參考Federal Times記者Molly Weisnery的採訪報導。
Weisnery採訪了GitLab Inc.聯邦首席技術長 Joel Krooswyk和Endor Labs 首席安全顧問兼美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)研究員Chris Hughes對這份新問卷的看法。兩家公司都為政府提供軟體DevOps或軟體安全維護服務。
Krooswyk表示,這是他第一次看到「貌似長期運行的行業標準」的東西,其中的很多問題是長期從事產品製造或產品定義的人會習慣回答的。雖然問卷是自願的,但Krooswyk表示,供應商可能傾向於用做出回應來表明自己比競爭對手更積極。他表示,儘管國家網路安全策略、軟體責任轉移受到高度關注,但希望拓展政府業務的供應商通常習慣接受對其聲明的檢測,也會願意誠實透明地回覆。Krooswyk還認為,調查問卷有可能填補供應鏈方面尚未被深入了解的資訊空白,不過,他也指出,是非題可能會產生一些主觀或不夠全面的答案,建議GSA提供一些具體的內容。
Hughes則點出了問卷令人擔憂的兩點。第一,它有可能成為「已經面臨繁瑣合規要求的生態系統」中又一種需要填寫的表格,政府單位也需要好好消化供應商的答覆。第二,關於積極回應的供應商是否會願意並有能力給予透明的回答,Hughes不太樂觀,認為這樣相當於「自我報告」,沒有好處。Hughes認為,「自我證明是一個很好的開始,因為它很簡單,摩擦力小,也可以自願提供信息…或許它不像第三方證明那樣及時、真實或嚴格,但[第三方證明]也非常麻煩、複雜、耗時且昂貴,所以這是一個微妙的平衡。」Hughes建議,希望看到更多有關開源(open-source)軟體的資訊,因為許多供應商可能會將開源軟體整合到他們的產品中,且也應該對開源軟體嚴格管理。
經濟部國際貿易署
中華民國對外貿易發展協會
