2022年5月26日,蘭德公司網(wǎng)站發(fā)布報告,題為《Disclosure of Software Supply Chain Risks》,作者是薩沙·羅曼諾斯基(高級政策研究員)和喬納森W.韋爾本。報告要點如下:
幾十年來,國家對計算機軟件運行和管理關鍵業(yè)務服務的依賴急劇增加,而且還在繼續(xù)增長。但這種依賴帶來了風險。利用軟件漏洞的速度和影響不斷增加,已經(jīng)給全球數(shù)千家公司造成了數(shù)十億美元的損失。軟件的惡意破壞(甚至是意外故障)威脅著美國所有行業(yè)的公司。此外,越來越多的事實表明,現(xiàn)代軟件應用程序建立在第三方和開源軟件組件的基礎之上,這些組件由全球數(shù)千名專業(yè)和志愿貢獻者開發(fā)?,F(xiàn)代軟件生態(tài)系統(tǒng)的這種復雜性和分散性意味著公司與運行其業(yè)務的軟件的監(jiān)督更加分離,并且軟件供應鏈因這種分離不斷擴大而越來越暴露于風險之中。盡管許多聯(lián)邦政府機構(gòu)都在以自己的方式解決這個問題,但美國證券交易委員會(SEC)一直相對平靜。本報告就披露規(guī)則提出了一系列建議,SEC可以實施這些規(guī)則來幫助解決軟件供應鏈安全問題。