非营利性网络安全专业会员组织ISC2已加入英国政府最近启动的软件安全大使计划，担任专家顾问。

该计划由国家网络安全中心(NCSC)和科学创新技术部(DSIT)于年初设立，是英国政府投入2.1亿英镑重塑公共部门网络安全弹性方案的一部分。该计划承认以往的安全方法基本无效，之前设定的弹性目标也无法实现。

该计划旨在激励组织更加关注软件产品的安全性，支持更广泛采用软件安全实践准则——这是一套自愿性原则，定义了安全软件的标准。

ISC2与多家技术供应商、咨询服务提供商和金融服务公司一起加入该计划，包括思科、帕洛阿尔托网络、Sage、埃森哲、NCC集团、劳埃德银行集团和桑坦德银行。网络安全协会ISACA也参与其中。

ISC2倡导与战略参与执行副总裁塔拉·维斯尼夫斯基表示："促进加强经济、公共服务和国家基础设施系统弹性的安全软件实践是ISC2使命的核心。该准则将软件安全从狭义合规提升为董事会级别的弹性优先事项。随着供应链攻击规模和影响的持续增长，建立共同基准至关重要。通过我们的全球社区和专业知识，ISC2致力于帮助专业人士培养将安全设计原则付诸实践所需的技能。"

软件漏洞构成弹性建设重大障碍

ISC2去年进行的供应链风险研究发现，全球略超过一半的组织报告称，软件供应商产品中的漏洞是其整体供应链面临的最具破坏性的网络安全威胁。

世界经济论坛1月12日发布的《全球网络安全展望》报告显示，高管们认为第三方和供应链漏洞是构建网络弹性的巨大障碍。

世界经济论坛年度调查中，65%的受访者将此类缺陷标记为其组织在弹性建设道路上面临的最大挑战，而2025年初这一比例为54%。这一比例超过了威胁环境演变、新兴生成式AI技术、传统IT系统使用、监管合规治理以及网络技能短缺等因素。

在供应链网络风险方面，受访者最担心无法保证软件和其他IT服务的完整性，其次是对供应商供应链缺乏可见性以及对关键第三方供应商的过度依赖。

英国实践准则旨在通过为技术提供商以及开发、销售或购买软件产品的其他组织建立期望和最佳实践来应对这一挑战。准则涵盖安全设计和开发、构建环境安全、部署和持续维护，以及与客户和用户的透明沟通等方面。

作为大使，ISC2将协助开发和改进实践准则，同时将其指导原则融入自身的网络安全教育和专业发展服务中，进而推广该准则。该组织在英国拥有1万名会员和准会员。

ISC2还将通过各种宣传活动推动实践准则的采用，将其纳入认证、培训和指导中，与行业利益相关者和会员合作鼓励实施，并将其条款纳入与自身商业供应商的合作中。

Q&A

Q1：英国软件安全大使计划是什么？目的是什么？

A：英国软件安全大使计划是由国家网络安全中心和科学创新技术部于年初设立的计划，是英国政府投入2.1亿英镑重塑公共部门网络安全弹性方案的一部分。该计划旨在激励组织更加关注软件产品的安全性，支持更广泛采用软件安全实践准则。

Q2：为什么供应链安全问题如此严重？

A：ISC2研究发现，全球略超过一半的组织报告称软件供应商产品中的漏洞是其供应链面临的最具破坏性威胁。世界经济论坛调查显示，65%的高管认为第三方和供应链漏洞是构建网络弹性的最大挑战，超过了其他技术和合规因素。

Q3：ISC2作为软件安全大使将承担哪些职责？

A：ISC2将协助开发和改进软件安全实践准则，将其指导原则融入网络安全教育和专业发展服务中。同时通过宣传活动推动准则采用，将其纳入认证培训中，与行业利益相关者合作鼓励实施，并将条款纳入与商业供应商的合作中。