美国软件供应链安全政策的演进及对我国的启示

文章预览

文 | 中国电子技术标准化研究院 李彦峰 张卫博 赵新强 王惠莅 张东举 软件供应链是基于供应关系的网链系统，通过资源和过程将软件产品或服务从供应方传递给需求方。然而，近年来频繁爆发的软件供应链安全事件，如 SolarWinds 后门注入、Apache Log4j2 远程代码执行漏洞，以及最新的“微软蓝屏”事件，因其影响范围广、危害损失大、隐蔽性强、溯源困难，对全球网络空间安全造成严重威胁。为应对软件供应链安全挑战，美国联邦政府自 2021 年 5 月起制定了一系列政策和标准来提升软件供应链的安全性。截至 2024 年 3 月，这些工作已进入实施阶段，对我国软件供应链安全工作的相关实践具有一定的借鉴意义。 一、美国软件供应链安全政策演进 在制定软件供应链安全政策之前，美国已制定了供应链安全相关政策。2018 年 9 月，美国发布《国家网络战 ………………………………