在去年一连串软件供应链攻击的影响和推动下，美国参议院通过了一项法案，旨在改善对采购人员的网络安全培训。 《供应链安全培训法》要求各机构在整个收购生命周期内评估和降低供应链风险。 该法案一旦成为法律，将要求国土安全部，美国国家标准与技术研究院（NIST）和其他联邦机构协调细节并执行该计划。

严格的网络安全规定对于加强供应链风险管理来说至关重要，本文将提供3个最佳实践，以供企业参考。

拓宽供应商的尽职调查

为了降低第三方软件供应链中断风险，企业可以要求解决方案提供商共享有关其软件开发生命周期的信息，包括：

• 源代码出自哪里

• QA 流程是怎样的

• SLA（服务级别协议） 中对漏洞的识别和修复是如何明确的

企业可以使用问卷来收集上述信息，但评估反馈有效期短。 因此，通过不断更新供应商风险数据来强化供应商评估非常重要，这些数据可以参考以下来源：

• 黑客论坛、威胁源以及泄漏凭据的 Paste 网站。 监控这些信息可以提供早期预警指标表明供应链合作伙伴已经/将成为目标。

• 安全社区、代码库、漏洞数据库和历史数据泄露通知，以定期检查供应商的安全情况。

• 供应商可能会造成品牌名誉损害，因此需要查看此前的负面媒体报道，是否被列入制裁名单等。

明确第四方供应商及潜在供应链风险

企业处于供应链中的位置越上游，可见性就越低。 当企业或组织面临恶意软件攻击和安全漏洞时，这可能会给企业造成的影响和损失。 了解扩展供应商生态系统，可以掌握数据是在何处处理的。 但收集这些信息可能非常耗时，且信息有效期短。

为了克服上述挑战，企业可以尝试使用第三方评估平台构建全面的供应商画像，其中包括供应商的一些关键信息，如位置、第四方合作伙伴和部署的技术（包括来自外部供应商边界扫描的信息）。 结果以关系图呈现，可以轻松识别技术集中风险。

自动化事件响应以降低风险

当发生大型软件供应链安全事件时，例如 SolarWinds 和 Kaseya，企业首先想到，“我们是否受到影响？ ”，以及“我们的第三方是否受到影响？ ”。 而拥有全面的供应商配置文件，将使企业处于应对该问题的绝佳位置。

然而，使用表单来评估和分类潜在数百个供应链合作伙伴的风险，会导致企业在评估供应商的风险敞口和修复计划时无从下手。

以下是采取更智能、更快速的事件响应方法的几个步骤：

• 集中管理所有供应商。 软件供应链风险很普遍，且远不止企业所认为最关键的供应商。

• 发布和跟踪特定事件的评估以及补救建议 ，以提高风险处理效率。 评估应当包括发生故障时的业务连续性、备份、恢复计划等方面。

• 让第三方供应商能够使用标准化事件报告评估来主动报告事件，该评估可自动对风险进行评分和升级，同时进行适当的分类和报告。

• 使用工作流规则触发自动化操作， 让企业能够根据风险对业务的潜在影响对风险采取行动。

• 集中分析评估结果 ，以便与合作伙伴协调补救措施，并向管理层报告进展情况。

采用手动、被动的方法进行第三方软件漏洞检测和事件响应只会增加业务中断的风险。 而本文中提及的三个最佳实践，能够帮助您为下一个供应链安全挑战做好更充分的准备。