供应链安全已过时？探讨安全趋势背后的真相

我们能否共同承认，关于供应链安全的讨论已经变得令人厌倦？十年前，除了联邦政府圈子外，我无法让任何人关注供应链问题，但现在它仍然是当下的安全话题。虽然这似乎是件好事，但它越来越分散人们对其他产品安全话题的注意力，挤占了有关安全软件开发的有意义讨论。因此，就像一部曾经受欢迎、长期播出的电视节目已经过时，却寻找噱头来吸引大家的注意力一样，我正式宣布：供应链安全已经“跳鲨”了（指过时或失去原有魅力）。

首先，让我们澄清“供应链安全”这一术语的含义。与某些人认为的相反，它并不等同于软件开发生命周期（SDLC）。没错，是时候引用NIST的定义了！NIST，即美国国家标准与技术研究院，对供应链安全进行了广泛定义，因为这个术语指的是组织获取的任何东西。

…术语“供应链”指的是企业多个层级之间和之中的相互关联的资源和过程集合，每个层级都是一个获取者，从产品和服务采购开始，延伸到产品和服务生命周期。

鉴于供应链的定义，整个供应链中的网络安全风险指的是可能由供应商、其供应链、其产品或其服务引起的损害或泄露的潜在可能性。整个供应链中的网络安全风险是利用穿越供应链的产品和服务中的漏洞或暴露的威胁，或利用供应链本身中的漏洞或暴露的威胁的结果。

（如果您对以美国为中心的讨论感到恼火，我鼓励您查看ISO 28000系列，供应链安全管理，我没有在这里包括它，因为他们对下载标准收费超过600美元。）

通常，供应链安全指的是第三方，这就是为什么这个术语最常用于与开源软件（OSS）相关的情况。您没有创建您正在使用的OSS，它存在于您自己的SDLC之外，因此您需要流程和能力来评估其风险。但您也需要考虑您获取的商业现成软件（COTS）。以SolarWinds为例。一系列针对公共和私营部门的攻击是由对商业产品的入侵引起的。这种泄露使恶意方进入了SolarWinds客户的内部网络。这不是一个新概念，只是由于SolarWinds作为企业监控系统的广泛使用而获得了广泛关注。大多数有采购流程的组织都因此包含了强大的第三方安全程序，但它们并不完美。

如果供应链安全不是一个新话题，也不包括整个SDLC，那么为什么它继续吸引安全领导者的注意力？也许是因为它提供了一种可衡量的、系统化的方法来解决应用安全问题。漏洞管理很有吸引力，因为它提供了令人安慰的幻觉，即如果您做正确的事情，比如更新OSS，您就能赢得安全游戏。不幸的是，真相要复杂得多。只需看看下图，它说明了产品安全程序的典型元素：

[图示：产品安全程序的典型元素]

高管们在问“我们安全吗”时，想要简单的答案。他们经常对安全讨论感到不知所措，因为他们想专注于他们被雇佣的目的：经营业务。作为安全专业人士，我们在构建程序以全面应对安全风险时，需要记住这一动机。我们应该给我们的组织他们需要的东西，而不是基于最新趋势的更多空洞的安全承诺。