陆英

偷工减料时有发生，在高风险、高速的工作中更是如此。但是，如果员工足够诚实地承认，当他们将易受攻击的代码上线时，可以将一系列已损坏的产品组合在一起。Osterman Research的一项新研究发现了一个令人担忧的趋势———81%的开发人员承认故意推送易受攻击的代码。这使得威胁行为者更容易发起网络攻击。

但我们提到这一点并不是为了消极对待。相反，这是企业和机构向内看的一个很好的提示。减少供应链脆弱性始于创建正确的公司文化。开发人员应该安全地利用有關易受攻击的代码标志，即使这意味着可能会错过最后期限。否则，开发人员可能会保持沉默并增加代码的风险。如果不了解可能存在的漏洞全貌以及对事件响应的影响，雇主就无法做出基于风险的决策。这始于一种将网络安全内置于结构中，并且作为每个人首要任务的文化。

然而，一个人无法解决问题。减少供应链网络攻击需要团队合作———确定优先事项的商业领袖、网络安全专家与开发人员和开发人员密切合作，将安全性融入到他们的代码中。等到已经成为供应链攻击的受害者或漏洞暴露数据时，就为时已晚。以下是主动降低供应链攻击风险的几个关键。

通知开发人员有关网络攻击的信息

对于供应链攻击，开发人员是第一线。您可能会想尝试通过一年一度的课程或更频繁的讲座来涵盖所有基础知识。然而，真正最有效的是开发人员持续更新有关新网络攻击和最佳实践的过程。通过使用微培训，例如文本培训或短视频，开发人员既可以获得需要的课程，也可以提高他们的意识。

监控开源项目

《2020年软件供应链状况报告》发现，在2019-2020年间，针对开源代码的网络攻击增加了430 %。通过使用对手模拟参与，组织可以直接了解软件在攻击期间的表现。开发人员还可以通过提高库、包和依赖项的可见性和安全性来减少依赖项混淆问题，从而降低开源开发带来的风险。

零信任

由于移动部分———数据、产品、集成，零信任方法对于降低供应链网络攻击风险至关重要，其假设任何设备、用户或数据都不安全，除非另有证明。这样通常可以减少或消除可能损害供应链的威胁。