在未來幾年，供應(yīng)鏈有什么樣的安全趨勢(shì)？

行業(yè)專家指出，缺乏透明度和錯(cuò)誤正在產(chǎn)生巨大的問題，但新的規(guī)則和解決方案正在朝著正確的方向發(fā)展，并分享了在供應(yīng)鏈安全方面需要注意的趨勢(shì)。

在過去，很容易知道誰在什么時(shí)候做什么：關(guān)系主要是私人的，供應(yīng)商通常是本地的，技術(shù)簡單到大多數(shù)人都能理解，至少能理解一點(diǎn)。一份簡單的檢查清單就足以確保機(jī)器的安全。一個(gè)簡單的會(huì)晤就足以達(dá)成協(xié)議。但現(xiàn)在情況已經(jīng)不一樣了。在當(dāng)今這個(gè)供應(yīng)鏈漫長、技術(shù)復(fù)雜的世界里，要讓產(chǎn)品和流程完全透明，以實(shí)現(xiàn)值得信賴的運(yùn)營，這是一項(xiàng)挑戰(zhàn)。

可以想像軟件是如何工作的，以及缺乏軟件供應(yīng)鏈的完整性、透明度和信任如何導(dǎo)致重大問題，例如如持續(xù)的Log4j威脅以及Kaseya和SolarWinds網(wǎng)絡(luò)攻擊。

人們需要擔(dān)心的不僅僅是直接的網(wǎng)絡(luò)攻擊或欺詐：出現(xiàn)的重大問題可能僅僅因?yàn)槿藗兎噶隋e(cuò)誤但未能理解并從中吸取教訓(xùn)。對(duì)于不想受到網(wǎng)絡(luò)攻擊的企業(yè)來說，披露錯(cuò)誤是非?？膳碌模慌兑馕吨e(cuò)誤無法糾正。

正如行業(yè)專家所說：“每當(dāng)隱私和問責(zé)制之間出現(xiàn)沖突時(shí)，人們就會(huì)要求保護(hù)自己的隱私，而要求其他人遵守相關(guān)法規(guī)?！?

在相互關(guān)聯(lián)的運(yùn)營和供應(yīng)鏈中，這造成的問題的規(guī)模、速度和影響范圍太大了，人們無法繼續(xù)進(jìn)行檢查清單、文書工作等。

未來的一年提供了一個(gè)新的機(jī)會(huì)，讓企業(yè)變得有戰(zhàn)略眼光，并在正確的道路上前進(jìn)。以下是對(duì)2023年軟件供應(yīng)鏈的預(yù)期。

1.新的軟件安全和完整性規(guī)則

美國管理和預(yù)算辦公室(OMB)最近發(fā)布了一份備忘錄，詳細(xì)說明了美國聯(lián)邦機(jī)構(gòu)的供應(yīng)商必須如何確保其解決方案和整個(gè)軟件供應(yīng)鏈中軟件的安全性和完整性。該備忘錄是對(duì)第14028號(hào)行政命令的擴(kuò)展，為各機(jī)構(gòu)、美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、美國行政管理和預(yù)算辦公室(OMB)和供應(yīng)商設(shè)定了嚴(yán)格的最后期限，其中許多將于2023年生效。

這項(xiàng)行政命令和備忘錄表明，世界各地的公司和政府正在意識(shí)到這樣一個(gè)事實(shí)：他們用于運(yùn)營的軟件以及使用和交付給客戶的硬件和軟件解決方案，都存在重大風(fēng)險(xiǎn)。

為了應(yīng)對(duì)新規(guī)則和日益增長的軟件供應(yīng)鏈威脅，預(yù)計(jì)在2023年，私營和公共部門的領(lǐng)先組織將圍繞其軟件的來源和構(gòu)建過程創(chuàng)建和共享透明度記錄和證明，以便用戶能夠更準(zhǔn)確地評(píng)估和解決自己的風(fēng)險(xiǎn)。期待一小群重要的客戶開始提出同樣的要求，并為其他人設(shè)定標(biāo)準(zhǔn)。

2.企業(yè)控制和期望更多的透明度

使運(yùn)營商能夠控制自己的風(fēng)險(xiǎn)是至關(guān)重要的，因?yàn)檎嬲娘L(fēng)險(xiǎn)最終歸屬于鏈的另一端。企業(yè)需要了解他們?cè)谔幚硎裁矗⒏鶕?jù)他們的獨(dú)特情況做出決定，以保護(hù)自己和客戶。

透明度之所以重要，有以下幾個(gè)原因。其中一個(gè)原因是責(zé)任。如果企業(yè)能夠證明軟件是問題的罪魁禍?zhǔn)?，那么就可以讓解決方案提供者承擔(dān)責(zé)任。

透明度的另一個(gè)關(guān)鍵好處是它使社區(qū)成員能夠分享他們所知道的。這樣，企業(yè)就不必等待供應(yīng)商通知他們?cè)诮锹涞暮凶永镉蠰og4j。可以自己檢查，他們會(huì)立刻知道這是否危險(xiǎn)。這一點(diǎn)很關(guān)鍵，因?yàn)闆]有人聰明到能解決所有問題，但知識(shí)就是力量，安全分享知識(shí)有益于整個(gè)群體。

3.更多的供應(yīng)商將意識(shí)到隱藏軟件缺陷是有風(fēng)險(xiǎn)的

還有一段路要走，但現(xiàn)在肯定走在一條道路上，在這條道路上，數(shù)字供應(yīng)鏈被認(rèn)為和實(shí)體供應(yīng)鏈一樣重要。這包括越來越多的人認(rèn)識(shí)到，供應(yīng)商必須提供高質(zhì)量的產(chǎn)品，消費(fèi)者必須控制自己的風(fēng)險(xiǎn)。

當(dāng)然，供應(yīng)商可能會(huì)提供不準(zhǔn)確的信息。在極端情況下，他們?nèi)匀豢梢栽谫|(zhì)量或安全程序方面撒謊。但隨著供應(yīng)鏈的完整性、透明度和信任系統(tǒng)的正規(guī)化。如果企業(yè)一直被發(fā)現(xiàn)對(duì)供應(yīng)鏈記錄做出不可靠的貢獻(xiàn)，無論是由于錯(cuò)誤還是其他原因，他們很快就會(huì)發(fā)現(xiàn)開展業(yè)務(wù)方面存在挑戰(zhàn)。

隨著對(duì)供應(yīng)鏈的誠信、透明和信任采取新的方法，預(yù)計(jì)更多的企業(yè)將開始建立誠實(shí)和公開其解決方案中軟件來源的聲譽(yù)。

4.更多的企業(yè)將利用自動(dòng)化

如今的企業(yè)花費(fèi)大量的時(shí)間和資源使用人工流程和文書檢查，以確保沒有出錯(cuò)。企業(yè)仍需解決網(wǎng)絡(luò)安全問題，降低風(fēng)險(xiǎn)。但現(xiàn)在，在經(jīng)濟(jì)衰退的環(huán)境下，他們需要這樣做，運(yùn)營預(yù)算的壓力越來越大。

當(dāng)企業(yè)試圖用更少的錢做更多的事情時(shí)，他們將面臨一個(gè)巨大的問題。試圖維持傳統(tǒng)的流程，用最基本的人員來完成這樣的工作是行不通的。

這將使2023年成為人們真正利用數(shù)字化轉(zhuǎn)型的一年。預(yù)計(jì)會(huì)有更多的組織實(shí)現(xiàn)真正的自動(dòng)化，從而更好、更清潔、更快地管理他們的供應(yīng)鏈生態(tài)系統(tǒng)，而且成本僅為目前的一小部分。

企業(yè)在今年將更加認(rèn)識(shí)到，當(dāng)他們以標(biāo)準(zhǔn)、自動(dòng)化的方式實(shí)現(xiàn)誠信、透明和信任時(shí)，可以加快運(yùn)營速度，降低數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)。通過從人工流程和“信任但要驗(yàn)證”的方法轉(zhuǎn)向基于可靠的數(shù)字文書和“先驗(yàn)證，再信任”的原則，這些組織將在核材料處理等領(lǐng)域?yàn)槲锢硎澜鐜頂?shù)字優(yōu)勢(shì)。

最大的網(wǎng)絡(luò)災(zāi)難可能是錯(cuò)誤而不是攻擊

在未來一年里，由于供應(yīng)鏈可見性的改善而產(chǎn)生的大部分發(fā)現(xiàn)將突出表明，大多數(shù)網(wǎng)絡(luò)威脅來自錯(cuò)誤—。

偶爾犯錯(cuò)誤是可以的。如果不犯錯(cuò)誤，不分享錯(cuò)誤，沒有人會(huì)承認(rèn)錯(cuò)誤，因?yàn)樗麄儠?huì)在媒體和保險(xiǎn)費(fèi)率上受到打擊。

供應(yīng)鏈完整性、透明度和信任的流程記錄了企業(yè)所做的一切重要事情。注意誰在什么時(shí)候做了什么可以暴露錯(cuò)誤。因此，生態(tài)系統(tǒng)合作伙伴可以避免在未來犯錯(cuò)誤。