5月7日，英国科技、创新与技术部（DSIT）正式推出自愿性《软件安全实践准则》，旨在帮助软件供应商及其客户降低供应链攻击和其他相关事件的可能性和影响。该准则主要通过四大主题、14项原则提升软件全生命周期安全性^[1]。

1、安全设计和开发。供应商的高级负责人应确保其销售的任何软件和软件服务符合4项原则：遵循既定的安全开发框架；理解软件的构成，并在整个软件开发生命周期内评估引入和维护第三方组件相关的风险；在分发之前，设立明确的流程对软件及其更新进行测试；在软件的整个开发生命周期中，遵循“安全设计”和“默认安全”的原则。

2、构建环境防护。供应商的高级负责人应确保其销售的任何软件和软件服务符合两项原则：保护构建环境免受未经授权的访问；控制和记录构建环境的变更。

3、安全部署和维护。供应商的高级负责人应确保其销售的任何软件和软件服务符合5项原则：确保软件安全地分发给客户；实施并发布有效的漏洞披露流程；制定流程和文档，以主动检测、优先处理和管理软件组件中的漏洞；在适当的情况下向相关方报告漏洞；向客户提供及时的安全更新、补丁和通知。

4、与客户沟通。供应商的高级负责人应确保其销售的任何软件和软件服务符合3项原则：向客户明确说明针对所销售软件提供的支持和维护水平；至少提前一年通知客户，供应商不再支持和维护软件的时间；向客户提供可能对客户造成重大影响的重大事件的信息。

（唐蘅）