日前，美国国家标准与技术研究所（NIST）发布了关于确保软件供应链安全的最新指导，以响应拜登政府旨在加强国家网络安全的行政令。NIST建议美国企业采取一系列最起码的安全措施，包括统一软件供应链报告语言，并要求对软件使用和开发方面的安全实践进行证明。

据Rain Capital公司执行事务合伙人兼Secure Code Warrior技术顾问委员会成员Chenxi Wang博士称，网络安全领导者可能需要在企业风险管理战略方面实施文化转变，以便采用这些指导方针。Wang博士表示：“《设计可信赖的安全系统》的最新草案明确了开展主动风险管理的重要性，包括缓解系统和软件中的漏洞。这需要软件工程师遵循安全设计原则，并提升这方面的技能，这应该是安全培训方面的基础学习。”

“企业安全领导者可以通过优先考虑代码级质量和安全，让开发人员通过安全计划创新为成功开发做好准备，从而为整个企业树立榜样。开发人员在培养高度相关的技能方面获得支持，有助于其了解安全最佳实践的重要性，并有助于其发挥作用。” Wang博士补充道，由于专注于开发方面的网络安全，企业首席信息安全官（CISO）可能要随势而变，调整和加强与IT团队和软件开发团队的关系，以便于企业在软件开发生命周期一开始就重视安全。

Wang博士说：“CISO们对于开发团队在安全方面的潜力，以及他们为保护企业免受重大数据泄密事件所做的工作越来越感兴趣。从这个意义上说，我认为软件开发人员的困境及其优先事项会得到企业其他人的理解。这反过来将帮助CISO们学习、了解和寻找更合适的工具、培训和流程，以帮助他们迅速做好安全工作。”

参考链接：

https://www.securitymagazine.com/articles/97082-nist-updates-software-supply-chain-security-guidance