数字供应链安全

数字供应链安全是指加强供应链内网络安全的努力。它是供应链安全的一个子集，专注于管理信息技术系统、软件和网络的网络安全要求，这些要求由网络恐怖主义、恶意软件、数据盗窃和高级持续威胁 (APT) 等威胁驱动. 用于xxx限度降低风险的典型供应链网络安全活动包括仅从受信任的供应商处购买、断开关键机器与外部网络的连接，以及对用户进行威胁和可以采取的保护措施的教育。

• 交付时已安装恶意软件的网络或计算机硬件。
• 插入软件或硬件的恶意软件（通过各种方式）
• 恶意黑客发现的供应链中软件应用程序和网络中的漏洞
• 假冒电脑硬件

• 俄罗斯：俄罗斯多年来一直有未公开的功能认证要求，最近启动了基于开源软件的国家软件平台工作。这反映了国家自治的明显愿望，减少对外国供应商的依赖。
• 印度：在其国家网络安全战略草案中承认供应链风险。它不是针对特定产品进行排除，而是考虑本土创新政策，优先考虑国内 ITC 供应商，以便在该行业建立强大的、具有全球竞争力的国家存在。

• SLSA（软件工件的供应链级别）是一个端到端框架，用于确保整个软件供应链中软件工件的完整性。这些要求的灵感来自 Google 的 Borg 内部二进制授权，该授权已在过去 8 年多的时间里使用，并且对于 Google 的所有生产工作负载都是强制性的。SLSA 的目标是改善行业状态，尤其是开源，以抵御最紧迫的完整性威胁。使用 SLSA，消费者可以对他们使用的软件的安全状况做出明智的选择。

• 金融部门信息共享与分析中心
• 网络空间国际战略（来自白宫）
• NSTIC
• SafeCode 白皮书
• 可信技术论坛和开放可信技术提供商标准 (O-TTPS)
• 网络供应链安全解决方案
• 固件中的恶意软件植入
• 软件时代的供应链
• 信息和通信技术供应链风险管理工作组：中期报告