CISA：软件采购指南

公众号回复 行业群

软件和网络物理设备供应商提供的关于其开发和第三方管理做法的透明度水平对技术收购构成挑战。虽然采购人员对特定采购的核心网络安全要求有大致的了解，但他们往往缺乏评估特定供应商是否有更好地满足企业用户对产品的持续期望的做法和政策的能力。

国家网络安全战略指出了这一问题的性质，该战略强调，网络安全责任往往由软件运营商承担，而不是那些最有能力解决问题的软件供应商。信息和通信技术（ICT）供应链风险管理（SCRM）工作组软件保证工作组制定了本软件采购指南（以下简称“指南”），以应对采购过程中软件保证和网络安全透明度的核心挑战，主要关注软件生命周期活动。

网络攻击通常针对企业对软件的使用，目的是中断、禁用、破坏或恶意控制计算环境/基础设施;或破坏数据的完整性或窃取受控信息。许多众所周知的攻击利用了软件和软件供应链中的漏洞和弱点;这一问题涉及专有软件和开源软件，对私营部门和政府企业都这一问题促使人们越来越需要重新平衡软件供应商和消费者之间的网络安全风险责任。双方都需要提高对软件供应链安全风险的认识，以及它们被网络犯罪分子利用和被民族国家对手使用类似战术、技术和程序武器化的可能性，但最终的责任在于软件供应商，他们应该对客户的安全结果拥有所有权。