Suse 的最新版本 保護雲端安全 報告發現，幾乎所有受訪的 IT 決策者都擔心與其軟體供應鏈相關的安全風險。

2024 年版報告是根據對 820 名 IT 工程師、架構師、開發人員、安全經理和總監的調查發現，94% 的 IT 決策者打算審查自己的軟體供應鏈以提高安全性。

在受訪的 IT 決策者中，近一半 (46%) 正在考慮將認證用於建立軟體的流程和工具作為減輕供應鏈攻擊風險和影響的關鍵措施。

Suse 在報告中表示，調查數據顯示，軟體內部稽核被認為是減輕供應鏈攻擊風險和影響的最重要措施。

四分之一的 IT 決策者認為，政府認可的供應鏈相關安全認證 (25%) 將成為他們在未來 12 個月內更加優先考慮的事項。 IT 決策者也認為，未來幾年將向上重新評估原始程式碼可審核性 (14%)、建置品質 (15%) 或軟體物料清單深度 (SBOM)、品質和安全性 (24%)變得更加優先。

該報告對美國、德國、英國、法國和荷蘭的 IT 決策者進行了調查。美國和歐洲的受訪者認為，原始碼可審計性目標(14%) 將被重新評估，其中比例最低的是德國(11%)，最高的是荷蘭(19%)，其次是法國(17% )。同樣，當被問及重新評估 SBOM 深度、品質和安全性時，美國 (20%) 和德國 (20%) 的受訪者意見一致。歐洲整體認為這種可能性較高（26%），其中英國（30%）的看法最為一致。

然而，Suse 指出，重新評估軟體供應鏈建構品質的決定仍有分歧。 「雖然去年歐洲受訪者 (40%) 比美國受訪者 (15%) 更有可能相信這一點，但今年，角色互換了，更多的美國決策者 (24%) 認為這是與歐洲（12%）相比，」該報告的作者寫道。

Suse 也發現，軟體供應鏈風險問題的回答取決於受訪者目前在企業中的角色。調查報告稱，從事軟體和網路工程師、技術架構師或開發人員工作的人更有可能相信原始碼可審計性目標將被重新評估（平均24% 對14%），但不太可能認為原始碼可審計性目標將被重新評估。

為了減輕供應鏈攻擊的風險和影響，受訪的 IT 決策者最常用的措施包括認證用於建立軟體的流程和工具 (46%)、利用主要軟體供應商支援的軟體 (44%)以及軟體的內部稽核（43%）。

與歐洲 (41%) 相比，美國 (59%) 認為對用於建立軟體的流程和工具進行認證更為重要。

Suse 還報告稱，與英國和荷蘭（均為 38%）相比，軟體內部審計在德國（53%）是一種更受歡迎的措施，而法國的平均水平（43%）。