据美国国家标准与技术研究院（NIST）官网7月8日消息，NIST近期更新《NIST白皮书》，发布“关键软件”定义，要求所有政府实体的“关键软件”都应遵循严格的安全要求。“关键软件”是指具有或直接依赖含至少一项特定属性组件的软件。组件可能具备的特定属性共有5项，包括以较高的权限或管理权限运行；直接或可用特权访问网络或计算资源；旨在控制对数据或操作技术的访问；执行网络控制等涉及安全、信任的操作；在正常信任边界外且以特权访问的方式操作。更新版白皮书列示了满足“关键软件”定义的11种软件类别和36种产品类型，软件类别包括身份凭证和访问管理系统、网络浏览器、网络监控和配置等；产品类型包括身份管理系统、路由协议、防火墙等。据悉，拜登于5月12日签署“关于改善国家网络安全的总统行政令”，指示NIST发布“关键软件”定义，随后网络安全和基础设施安全局 (CISA) 制定满足此定义的软件类别和产品清单的权威列表。

https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/critical-software-definition