ช่วงนี้ข่าวการโจมตี Supply Chain มีอยู่เรื่อย ๆ และทวีความรุนแรงมากยิ่งขึ้น
เนื่องด้วยการโจมตีตรง ๆ หาองค์กรใหญ่ ๆ นั้นเริ่มทำได้ยากขึ้นและใช้เวลานาน รวมไปถึงเมื่อโจมตีได้แล้วบางทีข้อมูลที่ได้มาอาจจะไม่คุ้มกับระยะเวลาที่เสียไป การโจมตีในลักษณะนี้จึงมีมากขึ้นเรื่อย ๆ
จึงเป็นที่มาทำให้ NIST ต้องอัปเดตคำแนะนำเรื่องนี้เพิ่มขึ้น โดยสรุปมีดังนี้
1.) สื่อสารกับผู้ให้บริการซอฟต์แวร์ในมุมของความมั่นคงปลอดภัยด้วยการอ้างอิงกับ Secure Software Development Framework (SSDF)
2.) ผู้พัฒนาจะต้องมีหลักฐานว่าซอฟต์แวร์ได้ถูกพัฒนามาตาม Best Practice ด้านความมั่นคงปลอดภัย
3.) ผู้ใช้งานซอฟต์แวร์สามารถยอมรับหลักฐานในการปฏิบัติตาม SSDF ของผู้พัฒนาได้ เว้นเสียแต่ว่ามีความจำเป็นที่จะต้องประเมินความเสี่ยงเพิ่มจากหน่วยงานอื่น ๆ
4.) ขอหลักฐานการปฏิบัติตาม Best Practice แบบ High-level เพราะทำให้เห็นภาพรวมได้ดีกว่า
สามารถอ่านเพิ่มเติมได้ที่ https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/draft