供应链安全已过时？

我们能否达成共识，认为供应链安全的讨论已经变得令人厌倦？十年前，除了联邦政府圈子里的人，我无法让任何人关注供应链问题，但现在它仍然是当今的安全话题。虽然这似乎是件好事，但它越来越分散人们对产品安全其他主题的注意力，挤占了有关安全软件开发的有意义讨论。因此，就像一部曾经备受喜爱、播出时间过长但已不受欢迎、却寻找噱头来吸引大家注意的电视剧一样，我正式宣布供应链安全已经过时。

首先，让我们澄清供应链安全这个术语的含义。与一些人的看法相反，它并不等同于软件开发生命周期（SDLC）。没错，是时候引用NIST的定义了！NIST，即美国国家标准与技术研究院，对供应链安全进行了广泛定义，因为这个术语指的是组织获取的任何事物。

……供应链一词指的是企业多个层级之间和之中的一系列相互关联的资源和流程，每个层级都是一个获取者，从产品和服务采购开始，并贯穿产品和服务生命周期。

鉴于供应链的定义，整个供应链中的网络安全风险指的是可能由供应商、其供应链、其产品或服务引起的损害或泄露的潜在可能性。整个供应链中的网络安全风险是利用贯穿供应链的产品和服务中的漏洞或暴露点进行攻击的威胁，或利用供应链本身的漏洞或暴露点进行攻击的威胁的结果。

（如果您对以美国为中心的讨论感到恼火，我鼓励您查阅ISO 28000系列，即供应链安全管理，我在此未包含该系列，因为他们对下载标准收费超过600美元。）

通常，供应链安全指的是第三方，这就是为什么该术语最常与开源软件（OSS）相关。您没有创建您正在使用的OSS，它存在于您自己的SDLC之外，因此您需要建立流程和能力来评估其风险。但您也需要考虑您获取的商业现成软件（COTS）。以SolarWinds为例。一系列针对公共和私营部门的攻击是由对商业产品的入侵引起的。这种入侵使得恶意方能够进入SolarWinds客户的内部网络。这并不是一个新概念，只是由于SolarWinds作为企业监控系统的广泛使用而引起了广泛关注。大多数拥有采购流程的组织都因此包含了强大的第三方安全计划，但它们并不完美。

如果供应链安全不是一个新话题，并且不包含整个SDLC，那么为什么它继续吸引安全领导者的注意力？也许是因为它提供了一种可衡量的、系统化的方法来解决应用安全问题。漏洞管理之所以吸引人，是因为它提供了一种令人安慰的错觉，即如果您做了正确的事情，比如更新OSS，您就能赢得安全游戏。不幸的是，事实要复杂得多。只需看看下图，它说明了产品安全计划的典型要素：

![产品安全计划典型要素图]

高管们在问“我们安全吗？”时，希望得到简单的答案。他们常常对安全讨论感到不知所措，因为他们希望专注于他们被雇佣来做的事情：经营业务。作为安全专业人员，我们在构建全面解决安全风险的计划时，需要记住这一动机。我们应该为我们的组织提供他们需要的东西，而不是基于最新趋势提供更多空洞的安全承诺。