在未來幾年，供應(yīng)鏈有什么樣的安全趨勢？

行業(yè)專家指出，缺乏透明度和錯誤正在產(chǎn)生巨大的問題，但新的規(guī)則和解決方案正在朝著正確的方向發(fā)展，并分享了在供應(yīng)鏈安全方面需要注意的趨勢。

在過去，很容易知道誰在什么時候做什么：關(guān)系主要是私人的，供應(yīng)商通常是本地的，技術(shù)簡單到大多數(shù)人都能理解，至少能理解一點。一份簡單的檢查清單就足以確保機器的安全。一個簡單的會晤就足以達成協(xié)議。但現(xiàn)在情況已經(jīng)不一樣了。在當今這個供應(yīng)鏈漫長、技術(shù)復(fù)雜的世界里，要讓產(chǎn)品和流程完全透明，以實現(xiàn)值得信賴的運營，這是一項挑戰(zhàn)。

可以想像軟件是如何工作的，以及缺乏軟件供應(yīng)鏈的完整性、透明度和信任如何導(dǎo)致重大問題，例如如持續(xù)的Log4j威脅以及Kaseya和SolarWinds網(wǎng)絡(luò)攻擊。

人們需要擔心的不僅僅是直接的網(wǎng)絡(luò)攻擊或欺詐：出現(xiàn)的重大問題可能僅僅因為人們犯了錯誤但未能理解并從中吸取教訓(xùn)。對于不想受到網(wǎng)絡(luò)攻擊的企業(yè)來說，披露錯誤是非常可怕的，但不披露意味著錯誤無法糾正。

正如行業(yè)專家所說：“每當隱私和問責制之間出現(xiàn)沖突時，人們就會要求保護自己的隱私，而要求其他人遵守相關(guān)法規(guī)。”

在相互關(guān)聯(lián)的運營和供應(yīng)鏈中，這造成的問題的規(guī)模、速度和影響范圍太大了，人們無法繼續(xù)進行檢查清單、文書工作等。

未來的一年提供了一個新的機會，讓企業(yè)變得有戰(zhàn)略眼光，并在正確的道路上前進。以下是對2023年軟件供應(yīng)鏈的預(yù)期。

1.新的軟件安全和完整性規(guī)則

美國管理和預(yù)算辦公室(OMB)最近發(fā)布了一份備忘錄，詳細說明了美國聯(lián)邦機構(gòu)的供應(yīng)商必須如何確保其解決方案和整個軟件供應(yīng)鏈中軟件的安全性和完整性。該備忘錄是對第14028號行政命令的擴展，為各機構(gòu)、美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、美國行政管理和預(yù)算辦公室(OMB)和供應(yīng)商設(shè)定了嚴格的最后期限，其中許多將于2023年生效。

這項行政命令和備忘錄表明，世界各地的公司和政府正在意識到這樣一個事實：他們用于運營的軟件以及使用和交付給客戶的硬件和軟件解決方案，都存在重大風險。

為了應(yīng)對新規(guī)則和日益增長的軟件供應(yīng)鏈威脅，預(yù)計在2023年，私營和公共部門的領(lǐng)先組織將圍繞其軟件的來源和構(gòu)建過程創(chuàng)建和共享透明度記錄和證明，以便用戶能夠更準確地評估和解決自己的風險。期待一小群重要的客戶開始提出同樣的要求，并為其他人設(shè)定標準。

2.企業(yè)控制和期望更多的透明度

使運營商能夠控制自己的風險是至關(guān)重要的，因為真正的風險最終歸屬于鏈的另一端。企業(yè)需要了解他們在處理什么，并根據(jù)他們的獨特情況做出決定，以保護自己和客戶。

透明度之所以重要，有以下幾個原因。其中一個原因是責任。如果企業(yè)能夠證明軟件是問題的罪魁禍首，那么就可以讓解決方案提供者承擔責任。

透明度的另一個關(guān)鍵好處是它使社區(qū)成員能夠分享他們所知道的。這樣，企業(yè)就不必等待供應(yīng)商通知他們在角落的盒子里有Log4j。可以自己檢查，他們會立刻知道這是否危險。這一點很關(guān)鍵，因為沒有人聰明到能解決所有問題，但知識就是力量，安全分享知識有益于整個群體。

3.更多的供應(yīng)商將意識到隱藏軟件缺陷是有風險的

還有一段路要走，但現(xiàn)在肯定走在一條道路上，在這條道路上，數(shù)字供應(yīng)鏈被認為和實體供應(yīng)鏈一樣重要。這包括越來越多的人認識到，供應(yīng)商必須提供高質(zhì)量的產(chǎn)品，消費者必須控制自己的風險。

當然，供應(yīng)商可能會提供不準確的信息。在極端情況下，他們?nèi)匀豢梢栽谫|(zhì)量或安全程序方面撒謊。但隨著供應(yīng)鏈的完整性、透明度和信任系統(tǒng)的正規(guī)化。如果企業(yè)一直被發(fā)現(xiàn)對供應(yīng)鏈記錄做出不可靠的貢獻，無論是由于錯誤還是其他原因，他們很快就會發(fā)現(xiàn)開展業(yè)務(wù)方面存在挑戰(zhàn)。

隨著對供應(yīng)鏈的誠信、透明和信任采取新的方法，預(yù)計更多的企業(yè)將開始建立誠實和公開其解決方案中軟件來源的聲譽。

4.更多的企業(yè)將利用自動化

如今的企業(yè)花費大量的時間和資源使用人工流程和文書檢查，以確保沒有出錯。企業(yè)仍需解決網(wǎng)絡(luò)安全問題，降低風險。但現(xiàn)在，在經(jīng)濟衰退的環(huán)境下，他們需要這樣做，運營預(yù)算的壓力越來越大。

當企業(yè)試圖用更少的錢做更多的事情時，他們將面臨一個巨大的問題。試圖維持傳統(tǒng)的流程，用最基本的人員來完成這樣的工作是行不通的。

這將使2023年成為人們真正利用數(shù)字化轉(zhuǎn)型的一年。預(yù)計會有更多的組織實現(xiàn)真正的自動化，從而更好、更清潔、更快地管理他們的供應(yīng)鏈生態(tài)系統(tǒng)，而且成本僅為目前的一小部分。

企業(yè)在今年將更加認識到，當他們以標準、自動化的方式實現(xiàn)誠信、透明和信任時，可以加快運營速度，降低數(shù)字供應(yīng)鏈風險。通過從人工流程和“信任但要驗證”的方法轉(zhuǎn)向基于可靠的數(shù)字文書和“先驗證，再信任”的原則，這些組織將在核材料處理等領(lǐng)域為物理世界帶來數(shù)字優(yōu)勢。

最大的網(wǎng)絡(luò)災(zāi)難可能是錯誤而不是攻擊

在未來一年里，由于供應(yīng)鏈可見性的改善而產(chǎn)生的大部分發(fā)現(xiàn)將突出表明，大多數(shù)網(wǎng)絡(luò)威脅來自錯誤—。

偶爾犯錯誤是可以的。如果不犯錯誤，不分享錯誤，沒有人會承認錯誤，因為他們會在媒體和保險費率上受到打擊。

供應(yīng)鏈完整性、透明度和信任的流程記錄了企業(yè)所做的一切重要事情。注意誰在什么時候做了什么可以暴露錯誤。因此，生態(tài)系統(tǒng)合作伙伴可以避免在未來犯錯誤。