原始发行日期:2021年4月26日
当网络威胁参与者渗透到软件供应商的网络并在供应商将软件发送给客户之前,利用恶意代码来破坏软件,就会发生软件供应链攻击,例如最近的SolarWinds Orion攻击。然后,受感染的软件可能会进一步危害客户数据或系统。
为了帮助软件供应商和客户抵御这些攻击,CISA和美国国家标准技术研究院(NIST)已发布了“抵御软件供应链攻击”。这种新的机构间资源概述了软件供应链的风险和建议。该出版物还提供有关使用NIST的网络供应链风险管理(C-SCRM)框架和安全软件开发框架(SSDF)来识别,评估和缓解风险的指南。
CISA鼓励用户和管理员查看防御软件供应链攻击并实施其建议。
提供此产品时要遵守本通知以及本隐私和使用政策。