数位供应链安全

数位供应链安全（Digital supply chain security）也称为供应链资安（supply chain cyber security），是指强化供应链里网络安全的措施，是供应链安全的一部分，着重在资讯系统、软件及网络相关网络安全需求的管理。目前数位供应链安全的威胁包括网络恐怖主义、恶意软件、资料窃取及高级长期威胁。典型降低风险的供应链资安行动包括只从可靠的软件供应商购买软件^[1]、关键的机器不要连接到外部网络，教育使用者有关网络威胁的知识，以及他们可以进行的保护措施。

2011年时，美国国土安全部国家防护与计划司的代理副司长Greg Schaffer曾在听证会中表示：他知道一些恶意软件植入电子设备及电脑中，然后贩售到美国的案例 ^[2]。

供应链资安威胁的例子

收到的网络设备或是电脑中已安装了恶意软件。
透过不同方式，在软件或是硬件中加入了恶意软件。
供应链中应用程序或网络的弱点被骇客所利用。
伪造的电脑硬件。

美国的对策

2008年订定的Comprehensive National Cyber Initiative^[3]。
国防采购管制（Defense Procurement Regulations）：列在国防授权法案的section 806里。
网络空间国际战略（International Strategy for Cyberspace）^[4]：是美国在2011年提出的战略，也是美国第一次提出有关安全及开放的网络空间的愿景，其中包括三个主题：国际合作、发展和防御。

国际合作（Diplomacy）：此战略会透过各国之间的共识，建立各国可以接受的国家行为规范，以“促进开放、互通、安全及可靠的资通讯基础建设”。
发展（Development）: 透过此战略，美国希望“通过双边组织或是多边组织，建立世界各国的资安能力。”。目的是保护全世界的IT基础建设，让全世界的合作更加紧密，以维持开放和安全的网络。
防御（Defense）：此战略表示美国政府“会确保攻击或是利用美国网络（对入侵者）所造成的风险，会远大于其潜在的利益。”呼吁世界各国针对入侵及破坏网络系统的罪犯或是非国家行为体采取法律行动。

世界各国的对策

资讯技术安全评估共同准则（Common Criteria，CC）中的EAL 4中，有选项可以评估数位供应链安全中的各个层面，包括产品、开发环境、资讯系统安全性、人力资源的流程、实体安全，ALC_FLR.3（系统化瑕疵修补）模组中的内容，也包括安全更新的流程及方法，甚至还包括实际站点的访查。若是有签署SOGIS-MRA的国家，其EAL 4可以被双方所承认。
俄罗斯：俄罗斯一直都有未公开的功能认证要求，也已开始了以开源软件为基础的国家软件平台（National Software Platform），这反映了国家希望灭少对外国供应商的依赖。
印度：印度也在其国家网络安全战略草案中提到供应链的风险。印度没有考虑排除特定的软件产品，而是用本土创新政策，优先考虑印度的资通讯供应商，在此领域建立强健且有国际竞争力的产业。
中华人民共和国：在“第十一个五年计划”（2006年–2010年）中有相关的目标，中国提出的本土创新政策是以安全为基础的积极创新政策，已要求建立针对政府采购使用的本土创新产品目录，并且订定多层保护架构(Multi-level Protection Scheme，MLPS），要求产品开发商及制造商需为中国公民或是法人，产品的核人技术及关键元件需有独立的本土知识产权^[5]。

企业领域的对策

软件产出物供应链层级^[6]（Supply-chain Levels for Software Artifacts，简称SLSA）是在软件供应链中确保产出物完整性的端对端框架，此一需求是源于Google内部的Binary Authorization for Borg^[7]，已使用八年以上，所有Google的产出物都要经过此一授权。SLSA的目的是要提升软件产业（特别是开源软件）对抗完整性威胁的能力。消费者可以根据SLSA知道其使用软件的资安态势（security posture），并作为采购时的依据^[8]。

参考资料

^ Mayounga, Andre. Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management - ProQuest. May 2017 [2023-01-06]. （原始内容存档于2023-01-06）（英语）.
^ Homeland Security: Devices, Components Coming In With Malware. InformationWeek. 2011-07-11 [2011-09-16]. （原始内容存档于2012-05-04）.
^ Comprehensive National Cyber Initiative
^ International Strategy for Cyberspace (PDF). [2023-01-06]. （原始内容存档 (PDF)于2023-01-06）.
^ Bridewell Consulting. [2023-01-07]. （原始内容存档于2022-12-08）. Thursday, 22 April 2021
^ SLSA (Supply-chain Levels for Software Artifacts). [2023-01-07]. （原始内容存档于2023-04-12）.
^ Binary Authorization for Borg. [2023-01-07]. （原始内容存档于2022-02-02）.
^ Introducing SLSA, an End-to-End Framework for Supply Chain Integrity. Google Online Security Blog. [2021-06-17]. （原始内容存档于2023-03-15）（英语）.

外部链接

Financial Sector Information Sharing and Analysis Center （页面存档备份，存于互联网档案馆）
International Strategy for Cyberspace （页面存档备份，存于互联网档案馆） (from the White House)
NSTIC （页面存档备份，存于互联网档案馆）
SafeCode Whitepaper （页面存档备份，存于互联网档案馆）
Trusted Technology Forum and the Open Trusted Technology Provider Standard (O-TTPS) （页面存档备份，存于互联网档案馆）
Cyber Supply Chain Security Solution （页面存档备份，存于互联网档案馆）
Malware Implants in Firmware （页面存档备份，存于互联网档案馆）
Supply Chain in the Software Era （页面存档备份，存于互联网档案馆）
INFORMATION AND COMMUNICATIONS TECHNOLOGY SUPPLY CHAIN RISK MANAGEMENT TASK FORCE: INTERIM REPORT （页面存档备份，存于互联网档案馆）

[1] Mayounga, Andre. Cyber-Supply Chain Visibility: A Grounded Theory of Cybersecurity with Supply Chain Management - ProQuest. May 2017 [2023-01-06]. （原始内容存档于2023-01-06）（英语）.

[2] Homeland Security: Devices, Components Coming In With Malware. InformationWeek. 2011-07-11 [2011-09-16]. （原始内容存档于2012-05-04）.

[3] Comprehensive National Cyber Initiative

[4] International Strategy for Cyberspace (PDF). [2023-01-06]. （原始内容存档 (PDF)于2023-01-06）.

[5] Bridewell Consulting. [2023-01-07]. （原始内容存档于2022-12-08）. Thursday, 22 April 2021

[6] SLSA (Supply-chain Levels for Software Artifacts). [2023-01-07]. （原始内容存档于2023-04-12）.

[7] Binary Authorization for Borg. [2023-01-07]. （原始内容存档于2022-02-02）.

[8] Introducing SLSA, an End-to-End Framework for Supply Chain Integrity. Google Online Security Blog. [2021-06-17]. （原始内容存档于2023-03-15）（英语）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]