这是一篇为 DZone 的 2025 趋势报告撰写并发表的文章，主要内容如下：

• 编辑注：以下内容是关于软件供应链安全的文章，强调了应对不安全软件供应链导致的漏洞的紧迫性，以及监管响应的必要性。
• 监管现状概述：全球软件供应链安全法规正在兴起，要求软件供应商提供软件产品中所有直接和传递依赖项的详细清单，以确保软件堆栈中使用的是经过认证的安全包。这对于信息系统审计师和安全评估人员识别风险至关重要。

• 关键现有法规：

  • 美国法规举措：如《行政命令 14028》要求安全软件开发和供应链风险管理，NIST 发布相关指南和标准，NTIA 发布 SBOM 基准等，但“关键软件”的定义不明确，常需法律团队参与。
  • 欧盟法规举措：如《网络弹性法案》将软件视为消费品，规定制造商的义务；《数字运营弹性法案》针对金融部门的 ICT 和第三方供应链风险；《NIS2 指令》扩大了关键实体的网络安全要求等，这些法规都强调软件组成透明度等。
• 对 DevSecOps 实践的影响：法规要求带来挑战，如组织准备不足、文化问题等。有效 DevSecOps 团队通过在 CI/CD 中自动化 SBOM 生成、进行 SBOM 验证和部署门控、安全存储和版本化 SBOM 等方式来实施软件供应链安全法规。

• 确保安全和合规的最佳实践：

  • 记录已知未知：用 IAST 等工具识别并验证已知未知的依赖项，确保对潜在风险的更真实评估。
  • 采用法规同时保持开发速度：将安全和合规实践自动化并早期嵌入生命周期，避免成为开发的阻碍。
  • 消除 SBOM 蔓延：使用数据治理策略管理 SBOM，采用集中聚合平台解决。
  • 消除“slopsquatting”：配置 AI 助手优先使用内部库，用自动化工具验证依赖项。
  • 持续监控和审计软件供应链：不断扫描新的 CVEs，实施警报，定期审查和更新供应链风险管理流程。
  • 采用 SLSA 适应不断变化的法规：提供可验证的保证，减轻合规负担。
• 结论：有效的“设计安全”始于安全的供应链，法规影响软件设计和流程，DevSecOps 团队应关注特定地区的法规要求，SBOM 在软件供应链管理中将发挥重要作用，通过 DevSecOps 自动化利用它们是合规的关键。

参考文献和资源丰富，涵盖多个关于软件供应链安全的方面。