虹科分享 | 浅谈“企业如何做好供应链管理？”| 虹科供应链安全评估平台及服务-电子发烧友网

一、供应链安全意识崛起

近年来，各种有关于供应链安全的新闻层出不穷，近日，勒索软件组织LockBit扬言获取了SpaceX近3000张“经过SpaceX工程师认证的图纸”，在勒索通知中LockBit表示要将图纸出售给其他制造商，除非马斯克在3月20 日前支付“保密费”。

SpaceX（美国太空探索技术公司），是一家由PayPal早期投资人埃隆・马斯克2002年6月建立的美国太空运输公司。主要设计、测试和制造运载火箭的部件，如Merlin、Kestrel和Draco火箭发动机。令人感到惊讶的是这些机密图纸并非来自SpaceX公司本身，而是来自其第三方供应商：为SpaceX项目生产零件的Max Industries公司。

二、什么是供应链攻击？

既然要明白如何管理好供应链的安全，就要了解什么是供应链攻击。供应链攻击（Supply Chain Attack）主要分为：软件供应链攻击、硬件供应链攻击、第三方供应链攻击、物流供应链攻击，在这里我们主要针对企业可能遇到的软件供应链攻击做出解释。供应链攻击是一种针对信息技术供应链的安全威胁形式。它利用供应链中的软件、硬件或服务的薄弱环节或漏洞，以便在最终用户使用的产品或系统中植入恶意代码、恶意组件或后门。攻击者通过篡改或操纵供应链的各个环节，使得被攻击的产品或系统在交付给最终用户之前就已被感染或受到操控。

供应链攻击的目标是通过感染供应链中的关键组件或系统，将恶意功能引入到最终用户的设备、软件或网络中。这种攻击方式的危害性很大，因为它能够绕过常规的安全防御措施，并且一次成功的攻击可以影响到大量用户或组织。例如在2021年的一个很有名的漏洞：Apache Struts漏洞攻击，攻击者通过利用Apache Struts框架的漏洞，将恶意代码注入到Web应用程序中，从而成功攻击了Equifax等多家企业。

三、企业如何做好软件供应链管理？

为了做好软件供应链管理，以下是一些企业可以采取的关键步骤和最佳实践：

1.供应链伙伴选择与评估

仔细选择合作伙伴和供应商，确保它们具有良好的安全实践和可靠的供应链管理过程。进行供应商的背景调查和安全评估，包括审查其安全政策、流程和安全认证。

2.建立安全合同协议

与供应商签订明确的安全合同和协议，确保安全要求和责任在供应链关系中得到明确规定。包括关于软件开发、测试、验证和交付的安全条款。

3.风险管理

识别和评估供应链中的潜在风险，并采取适当的措施进行风险管理。建立风险评估和管理框架，包括评估供应链的脆弱环节和威胁，并采取相应的风险缓解措施。

4.安全审查和验证

对供应链中的软件和组件进行安全审查和验证，包括对源代码的审查、漏洞扫描、安全测试和验证。确保软件和组件的完整性、可信度和安全性。

5.安全补丁和更新管理

及时应用软件和组件的安全补丁和更新，以修复已知的漏洞和安全问题。建立补丁管理流程，确保对供应链中的所有组件进行跟踪和更新。