ソフトウェア?サプライチェーンには、アプリケーションに関わるものすべて、つまりアプリケーションのアセンブル、開発、デプロイに何らかの役割を果たすものすべてが含まれます。その意味では自前のコードやコンポーネント、ソフトウェアで使用する API とクラウド?サービス、さらに、それらのソフトウェアをビルドしてエンド?ユーザーへデリバリする際に使用するインフラもサプライチェーンに含まれます。
最终製品とそのユーザーは、プロセスに関与するすべての部品、人间、活动、材料、手顺の影响を受けます。このワークフローの一部にでも弱点があれば、そこからリスクが混入します。このリスクを軽减するには、サプライチェーン全体を完全に理解する以外にありません。ソフトウェア?サプライチェーンの场合もまったく同じです。
サプライチェーンのセキュリティ対策では、アプリケーションをアップストリーム?リスク(ソフトウェアのディストリビューションにおける上流でのリスク)から守ること、そして自らがダウンストリーム?リスクを(ソフトウェアのディストリビューションにおける下流でのリスク)生み出さないようにすることを考える必要があります。
ソフトウェア?サプライチェーンの安全性を确保するための主な検讨事项は以下のとおりです。