软件供应链安全:企业与行业能做什么?

在Forrester安全与风险峰会上,分析师Janet Worthington将主持"从脆弱到敏捷:重塑软件供应链安全"主题讨论。会议探讨软件物料清单(SBOM)的现实作用,以及CISO、开发者和监管机构如何协作防范大规模安全事件。与会嘉宾来自美国总务署、施耐德电气及网络安全和基础设施安全局(CISA),共同探讨构建真正安全的软件供应链所需的系统性举措。

真正安全的软件供应链,远不是拼凑一份软件物料清单(SBOM)那么简单——这一议题将在本周举行的Forrester安全与风险峰会上深入探讨。

软件物料清单在当下究竟发挥着怎样的作用?首席信息安全官、软件开发者、监管机构及其他相关方,又该采取哪些措施来防范大规模安全事件的发生?Forrester首席分析师Janet Worthington在峰会前夕接受了InformationWeek的专访,提前透露了她的主题圆桌论坛内容。

该场论坛以"从脆弱走向敏捷:重塑软件供应链安全"为题,于12月11日(周三)在巴尔的摩现场及线上同步举行。与Worthington同台的嘉宾包括:美国总务管理局代理高级网络安全顾问Rosa Underwood、施耐德电气全球网络安全与产品安全办公室供应链安全副总裁Cassie Crossley,以及美国网络安全和基础设施安全局(CISA)高级顾问兼战略师Allan Friedman博士。

Q&A

Q1:软件物料清单(SBOM)在软件供应链安全中起到什么作用?

A:软件物料清单(SBOM)是记录软件组件构成的清单,有助于企业了解自身软件中包含哪些第三方组件及其版本信息,从而在漏洞出现时快速定位受影响范围。然而,仅依赖SBOM并不足以保障软件供应链的整体安全,它只是安全体系中的一个环节,还需要配合其他技术手段和管理措施共同发挥作用。

Q2:首席信息安全官应如何应对软件供应链安全威胁?

A:首席信息安全官需要从多个维度入手:一是建立完整的软件资产可见性,掌握所使用的第三方组件;二是制定供应链风险管理策略,对关键供应商进行安全评估;三是积极参与行业标准的制定与落地;四是与监管机构保持沟通,及时了解最新合规要求。单纯依赖工具和文档远远不够,组织层面的协同机制同样不可或缺。

Q3:Forrester安全与风险峰会上关于软件供应链安全的讨论涉及哪些关键议题?

A:本次峰会的相关论坛聚焦于如何将软件供应链安全从"脆弱"转变为"敏捷",具体议题包括:软件物料清单的现实局限、监管机构与企业在安全责任上的分工,以及行业各方——包括软件开发者、安全负责人和政府机构——如何协作,共同构建更具韧性的软件供应链安全体系。

来源:InformationWeek

0赞

好文章,需要你的鼓励

2026

07/03

16:57

分享

点赞

邮件订阅