网络攻击是通过网络空间进行的，其目标是企业使用的网络空间，目的是破坏、禁用、恶意 控制计算环境或基础设施；破坏数据的完整性；窃取受控信息。1最近的网络攻击，比如针对SolarWinds及其客户的攻击，以及利用Log4j等漏洞，突出了软件供应链的弱点，这个问题，涵盖了商业和开源软件，影响了私人和政府企业。因此，越来越需要提高软件供应链的安全意识，需要认识到国家对手使用类似的战术、技术和程序(TTPs)将软件供应链武器化的可能性。

作为回应，白宫发布了一项关于改善国家网络安全的行政命令(EO14028)。EO 14028建立了新的 要求来确保联邦政府的软件供应链。这些要求除了为联邦政府购买软件的客户外，还涉及对软件 供应商和开发人员的系统审查、流程改进和安全标准。

同样的，持久安全框架2(ESF)软件供应链工作小组建立了此指导方针，以作为开发人员、供应商和客户利益相关者的建议实践的概要，以确保一个更安全的软件供应链。本系列分为三部分：第一部分关注软件开发人员；第二部分关注软件供应商；第三部分关注软件客户，本指南为第一部分。

客户（购买方）可以将此指南作为描述、评估和度量与软件生命周期相关的安全实践的基础。此外，本文列出的建议实践可以应用于软件供应链的收购、部署和操作阶段。

软件供应商（供应商）负责建立客户和软件开发人员之间的联系。因此，供应商的职责包括通 过合同协议、软件发布和更新、通知和减少漏洞来确保软件的完整性和安全性。本指南包含推荐的最佳做法和标准，以帮助供应商完成这些任务。

本文件将提供符合行业最佳实践和原则的指导，我们强烈建议软件开发人员参考。这些原则包括安全需求规划、从安全的角度设计软件体系结构、添加安全特性，以及维护软件和底层基础设施的安全性（例如，环境、源代码审查、测试）。