2022年5月26日,兰德公司网站发布报告,题为《Disclosure of Software Supply Chain Risks》,作者是萨沙·罗曼诺斯基(高级政策研究员)和乔纳森W.韦尔本。报告要点如下:
几十年来,国家对计算机软件运行和管理关键业务服务的依赖急剧增加,而且还在继续增长。但这种依赖带来了风险。利用软件漏洞的速度和影响不断增加,已经给全球数千家公司造成了数十亿美元的损失。软件的恶意破坏(甚至是意外故障)威胁着美国所有行业的公司。此外,越来越多的事实表明,现代软件应用程序建立在第三方和开源软件组件的基础之上,这些组件由全球数千名专业和志愿贡献者开发。现代软件生态系统的这种复杂性和分散性意味着公司与运行其业务的软件的监督更加分离,并且软件供应链因这种分离不断扩大而越来越暴露于风险之中。尽管许多联邦政府机构都在以自己的方式解决这个问题,但美国证券交易委员会(SEC)一直相对平静。本报告就披露规则提出了一系列建议,SEC可以实施这些规则来帮助解决软件供应链安全问题。
