微软、英特尔和高盛牵头成立供应链安全工作组

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

TCG 是一个非营利性组织机构，为可信计算平台如广泛使用的可信平台模块 (TPM) 开发、定义和推广开源和供应商中立行业标准和标准。TCG 拥有多个工作组，涉及云、嵌入式系统、基础设施、物联网、手机、PC客户端、服务器、软件栈、存储、可信网络通信、TPM和虚拟化平台等。

本周，TCG 宣布称将成立专注于供应链安全的新工作组。微软、英特尔和高盛的代表人员将牵头该工作组，专门致力于开发供应链安全标准指南。

该工作组具有两个主要目标：规定（确保设备是真实的）和恢复（帮助组织机构从网络安全攻击中恢复）。TCG注意到短期来看可能解决方案的成本搞高昂，或者组织机构愿意支付的要少于击垮整个供应链造成的成本。

TCG 表示，“由于所牵涉的阶段、组织机构和个体以及当前的安全方法基本是主观的而且要求人进行干预，因此硬件供应链的安全性难以保证。由于极其难以识别恶意和伪造的硬件，多数组织机构无法获得能够成功检测它们的工具、知识或专业技能。在供应链安全工作组的指导下，供应链安全防护人员能够更好地对抗网络威胁。”

去年发生多起影响大的供应链攻击，如SolarWinds、Codecov 和 Kaseya 等攻击活动。