面对快速增长的软件供应链威胁，各国政府纷纷颁布法规和政策，重点覆盖软件的安全设计、安全开发、软件责任和自我证明，以及第三方认证等议题。

对于业务全球化的软件供应商（包括网络安全厂商和任何产品中包括软件和数字元素的供应商，例如新能源汽车）来说，熟悉全球软件供应链安全法规已经成为拓展海外业务的必修课。以下，我们整理了近年来各国政府制订的软件供应链安全相关的政府法规和国际项目：

FDA还特别关注了医疗设备中的开源软件组件的作用，以及从风险管理角度考虑的潜在风险。

美国总统网络安全行政令明确要求NIST更新SSDF和OMB，这两个框架也是所有向美国联邦政府销售产品的软件供应商进行自我认证的关键框架。SSDF利用多个现有的安全软件开发框架，例如OWASP的安全应用程序成熟度模型(SAMM)和Synopsys的构建安全成熟度模型(BSIMM)，来交叉引用开发安全软件时应遵守的实践。

NCS战略的关键主题是将焦点从客户和消费者转移到软件供应商，这也是CISA等机构“设计安全”计划的关键主题。NCS的另一个重点主题是强调塑造市场力量以推动安全性和弹性，并呼吁开展诸如追究数据管理者责任和推动安全设备开发等活动，甚至引入了备受争议的“软件责任”主题。

该法案涵盖硬件和软件以及任何具有“数字元素”的产品，与GDPR非常相似。《弹性法案》尽管是在欧盟设计的，但适用于所有在欧盟市场销售的产品，因此具有全球性的深远影响。

该法案要求网络安全成为具有数字元素的产品设计和开发的关键因素，违规行为除了会被处以行政罚款外，还可能导致产品在欧盟市场的销售受到限制。

该法案适用于所有在欧盟投放和使用的人工智能系统和服务，因此具备全球性的影响力。被视为高风险系统的生产商需要执行各种风险管理和治理活动，并自我证明遵守该法案，违规可能会导致高达全球营业额的4%或高达数千万欧元的罚款。

它还将软件供应链攻击确定为CCCS2023-2024国家网络威胁评估中的一个关键问题。CCCS还在2023年发布了《保护您的组织免受软件供应链威胁》，为使用SSC的公司提供指导。

“安全软件联合原则“的重点是将安全软件开发实践纳入政府政策和供应商的软件采购中。它与NISTSSDF中的四个阶段相一致，并讨论了要求软件生产商进行自我证明甚至在必要时进行第三方认证的提议。

信源：www.csoonline.com/article/1285899/a-look-at-the-worldwide-push-to-secure-the-global-software-supply-chain.html

报道称，埃里克·范·萨本（Erik van Sabben）于2005年被聘用。这位工程师随后在迪拜的运输公司TTS工作，但后来跳槽到阿拉伯 Al-Jaber 集团，然后又回到了TTS。在运输公司，他处于将西方专业设备运往伊朗的“关键位置”。

范·萨本冒充伊朗工程师，成功潜入伊朗核计划的关键点——纳坦兹核设施。他通过水泵将Stuxnet恶意软件引入该设施。恶意软件隐藏在泵内，使其能够传播并危害工业控制系统。

范·萨本于2009年1月离开伊朗后不久在一场摩托车事故中丧生。报道指出，目前尚不清楚范·萨本本人是否知道他带到纳坦兹的设备感染了恶意软件。

该报道概述了这次秘密行动之前的多年准备工作。据报道，在2006年，时任美国中央情报局局长迈克尔‧海登（Michael Hayden）亲自前往荷兰军事情报和安全局，向荷方人员强调需要将一些“水泵”运进伊朗纳坦兹核设施，称这些“水泵”将导致核离心机自爆。据当时在场的荷方人员描述，海登描述这些“水泵”花了10余亿美元研发。

网络安全行业的知名成员、卡巴斯基研究团队前主任Costin Raiu和WithSecure首席研究官Mikko Hypponen对这一数额表示怀疑。