网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和国家情报总监办公室 (ODNI) 本周发布了关于保护软件供应链安全的三部分联合指南的第二部分。

该指南由持久安全框架 (ESF) 创建，这是一个跨部门工作组，旨在减轻威胁关键基础设施和国家安全的风险，为开发商、供应商和组织提供建议。

9 月，三个美国机构发布了该系列的第一部分，其中包括为希望提高软件供应链安全性的开发人员提供的建议。

美国国家安全局说：“供应商在确保软件的安全性和完整性方面也负有重要责任。毕竟，软件供应商负责客户和软件开发人员之间的联络。正是通过这种关系，可以通过合同协议、软件发布和更新、通知和漏洞缓解来应用额外的安全功能。”

接下来，我们一起看看第二部分的介绍和背景，全文可在文末获取下载机翻版。

1   介绍

所有组织都有责任建立软件供应链安全实践以降低风险，但组织在软件供应链生命周期中的角色决定了此责任的形式和范围。

由于保护软件供应链的注意事项因组织在软件供应链中扮演的角色而异，因此本系列提供了针对这些重要角色的建议，即开发人员、供应商和客户（或获取软件产品的组织）。

本指南分为三部分系列，将与软件供应链生命周期同时发布。这是本系列的第2部分，重点介绍软件供应商。本系列的第1部分侧重于软件开发人员，本系列的第3部分将重点介绍软件客户。本系列将有助于促进这三个不同角色之间以及网络安全专业人员之间的沟通，从而有助于提高软件供应链流程的弹性和安全性。

1.1   背景

• 未记录的功能或高风险功能，

• 评估和部署之间对合同、功能或安全假设的未知和/或修订，

• 供应商所有权和/或地理位置的变更，以及
• 供应商企业或开发卫生状况不佳。

1.2   文档概述

网络安全等级保护实施指南培训PPT

美国关键信息基础设施数据泄露的成本

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 网络安全等级保护：等级保护测评过程及各方责任
3. 网络安全等级保护：政务计算机终端核心配置规范思维导图
4. 网络安全等级保护：什么是等级保护？
   
5. 网络安全等级保护：信息技术服务过程一般要求
6. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
7. 闲话等级保护：什么是网络安全等级保护工作的内涵？
8. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
9. 闲话等级保护：测评师能力要求思维导图
   
10. 闲话等级保护：应急响应计划规范思维导图
    
11. 闲话等级保护：浅谈应急响应与保障
    
12. 闲话等级保护：如何做好网络总体安全规划
    
13. 闲话等级保护：如何做好网络安全设计与实施
    
14. 闲话等级保护：要做好网络安全运行与维护
    
15. 闲话等级保护：人员离岗管理的参考实践
16. 信息安全服务与信息系统生命周期的对应关系
17. 工业控制系统安全：信息安全防护指南
18. 工业控制系统安全：工控系统信息安全分级规范思维导图
19. 工业控制系统安全：DCS防护要求思维导图
20. 工业控制系统安全：DCS管理要求思维导图
21. 工业控制系统安全：DCS评估指南思维导图
22. 工业控制安全：工业控制系统风险评估实施指南思维导图
23. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
24. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图

原文始发于微信公众号（祺印说信安）：美国三机构共同发布《保护软件供应链：供应商的推荐做法指南》