当前位置：网站首页>3个最佳实践助力企业改善供应链安全

3个最佳实践助力企业改善供应链安全

2022-06-29 12:32:00 【InfoQ】

在去年一连串软件供应链攻击的影响和推动下，美国参议院通过了一项法案，旨在改善对采购人员的网络安全培训。《供应链安全培训法》要求各机构在整个收购生命周期内评估和降低供应链风险。该法案一旦成为法律，将要求国土安全部，美国国家标准与技术研究院（NIST）和其他联邦机构协调细节并执行该计划。

严格的网络安全规定对于加强供应链风险管理来说至关重要，本文将提供3个最佳实践，以供企业参考。

为了降低第三方软件供应链中断风险，企业可以要求解决方案提供商共享有关其软件开发生命周期的信息，包括：

企业可以使用问卷来收集上述信息，但评估反馈有效期短。因此，通过不断更新供应商风险数据来强化供应商评估非常重要，这些数据可以参考以下来源：

企业处于供应链中的位置越上游，可见性就越低。

当企业或组织面临恶意软件攻击和安全漏洞时，这可能会给企业造成的影响和损失。了解扩展供应商生态系统，可以掌握数据是在何处处理的。但收集这些信息可能非常耗时，且信息有效期短。

为了克服上述挑战，企业可以尝试使用第三方评估平台构建全面的供应商画像，其中包括供应商的一些关键信息，如位置、第四方合作伙伴和部署的技术（包括来自外部供应商边界扫描的信息）。结果以关系图呈现，可以轻松识别技术集中风险。

当发生大型软件供应链安全事件时，例如 SolarWinds 和 Kaseya，企业首先想到，“我们是否受到影响？”，以及“我们的第三方是否受到影响？”。而拥有全面的供应商配置文件，将使企业处于应对该问题的绝佳位置。

然而，使用表单来评估和分类潜在数百个供应链合作伙伴的风险，会导致企业在评估供应商的风险敞口和修复计划时无从下手。

以下是采取更智能、更快速的事件响应方法的几个步骤：

采用手动、被动的方法进行第三方软件漏洞检测和事件响应只会增加业务中断的风险。而本文中提及的三个最佳实践，能够帮助您为下一个供应链安全挑战做好更充分的准备。

参考链接：
Supply Chain Security Training Act of 2021
https://www.congress.gov/bill/117th-congress/senate-bill

版权声明
本文为[InfoQ]所创，转载请带上原文链接，感谢
https://xie.infoq.cn/article/50e4bd5b94e0ef02db6d48180