摘要：行业专家指出，缺乏透明度和错误正在产生巨大的问题，但新的规则和解决方案正在朝着正确的方向发展，并分享了在供应链安全方面需要注意的趋势。

    在未来几年，供应链有什么样的安全趋势？
　　
　　行业专家指出，缺乏透明度和错误正在产生巨大的问题，但新的规则和解决方案正在朝着正确的方向发展，并分享了在供应链安全方面需要注意的趋势。
　　
　　在过去，很容易知道谁在什么时候做什么：关系主要是私人的，供应商通常是本地的，技术简单到大多数人都能理解，至少能理解一点。一份简单的检查清单就足以确保机器的安全。一个简单的会晤就足以达成协议。但现在情况已经不一样了。在当今这个供应链漫长、技术复杂的世界里，要让产品和流程完全透明，以实现值得信赖的运营，这是一项挑战。
　　
　　可以想像软件是如何工作的，以及缺乏软件供应链的完整性、透明度和信任如何导致重大问题，例如如持续的Log4j威胁以及Kaseya和SolarWinds网络攻击。
　　
　　人们需要担心的不仅仅是直接的网络攻击或欺诈：出现的重大问题可能仅仅因为人们犯了错误但未能理解并从中吸取教训。对于不想受到网络攻击的企业来说，披露错误是非常可怕的，但不披露意味着错误无法纠正。
　　
　　正如行业专家所说：“每当隐私和问责制之间出现冲突时，人们就会要求保护自己的隐私，而要求其他人遵守相关法规。”
　　
　　在相互关联的运营和供应链中，这造成的问题的规模、速度和影响范围太大了，人们无法继续进行检查清单、文书工作等。
　　
　　未来的一年提供了一个新的机会，让企业变得有战略眼光，并在正确的道路上前进。以下是对2023年软件供应链的预期。
　　
　　1.新的软件安全和完整性规则
　　
　　美国管理和预算办公室(OMB)最近发布了一份备忘录，详细说明了美国联邦机构的供应商必须如何确保其解决方案和整个软件供应链中软件的安全性和完整性。该备忘录是对第14028号行政命令的扩展，为各机构、美国网络安全和基础设施安全局(CISA)、美国行政管理和预算办公室(OMB)和供应商设定了严格的最后期限，其中许多将于2023年生效。
　　
　　这项行政命令和备忘录表明，世界各地的公司和政府正在意识到这样一个事实：他们用于运营的软件以及使用和交付给客户的硬件和软件解决方案，都存在重大风险。
　　
　　为了应对新规则和日益增长的软件供应链威胁，预计在2023年，私营和公共部门的领先组织将围绕其软件的来源和构建过程创建和共享透明度记录和证明，以便用户能够更准确地评估和解决自己的风险。期待一小群重要的客户开始提出同样的要求，并为其他人设定标准。
　　
　　2.企业控制和期望更多的透明度
　　
　　使运营商能够控制自己的风险是至关重要的，因为真正的风险最终归属于链的另一端。企业需要了解他们在处理什么，并根据他们的独特情况做出决定，以保护自己和客户。
　　
　　透明度之所以重要，有以下几个原因。其中一个原因是责任。如果企业能够证明软件是问题的罪魁祸首，那么就可以让解决方案提供者承担责任。
　　
　　透明度的另一个关键好处是它使社区成员能够分享他们所知道的。这样，企业就不必等待供应商通知他们在角落的盒子里有Log4j。可以自己检查，他们会立刻知道这是否危险。这一点很关键，因为没有人聪明到能解决所有问题，但知识就是力量，安全分享知识有益于整个群体。
　　
　　3.更多的供应商将意识到隐藏软件缺陷是有风险的
　　
　　还有一段路要走，但现在肯定走在一条道路上，在这条道路上，数字供应链被认为和实体供应链一样重要。这包括越来越多的人认识到，供应商必须提供高质量的产品，消费者必须控制自己的风险。
　　
　　当然，供应商可能会提供不准确的信息。在极端情况下，他们仍然可以在质量或安全程序方面撒谎。但随着供应链的完整性、透明度和信任系统的正规化。如果企业一直被发现对供应链记录做出不可靠的贡献，无论是由于错误还是其他原因，他们很快就会发现开展业务方面存在挑战。
　　
　　随着对供应链的诚信、透明和信任采取新的方法，预计更多的企业将开始建立诚实和公开其解决方案中软件来源的声誉。
　　
　　4.更多的企业将利用自动化
　　
　　如今的企业花费大量的时间和资源使用人工流程和文书检查，以确保没有出错。企业仍需解决网络安全问题，降低风险。但现在，在经济衰退的环境下，他们需要这样做，运营预算的压力越来越大。
　　
　　当企业试图用更少的钱做更多的事情时，他们将面临一个巨大的问题。试图维持传统的流程，用最基本的人员来完成这样的工作是行不通的。
　　
　　这将使2023年成为人们真正利用数字化转型的一年。预计会有更多的组织实现真正的自动化，从而更好、更清洁、更快地管理他们的供应链生态系统，而且成本仅为目前的一小部分。
　　
　　企业在今年将更加认识到，当他们以标准、自动化的方式实现诚信、透明和信任时，可以加快运营速度，降低数字供应链风险。通过从人工流程和“信任但要验证”的方法转向基于可靠的数字文书和“先验证，再信任”的原则，这些组织将在核材料处理等领域为物理世界带来数字优势。
　　
　　最大的网络灾难可能是错误而不是攻击
　　
　　在未来一年里，由于供应链可见性的改善而产生的大部分发现将突出表明，大多数网络威胁来自错误—。
　　
　　偶尔犯错误是可以的。如果不犯错误，不分享错误，没有人会承认错误，因为他们会在媒体和保险费率上受到打击。
　　
　　供应链完整性、透明度和信任的流程记录了企业所做的一切重要事情。注意谁在什么时候做了什么可以暴露错误。因此，生态系统合作伙伴可以避免在未来犯错误。
　　
　　编辑：Harris