2022年6月，美国兰德公司发布报告《披露软件供应链风险》，旨在提高管理软件供应链风险的水平和透明度。

1. 管理软件供应链风险

美国证券交易委员会可以要求公司披露其管理软件供应链风险的流程。具体而言，此类披露可能包含以下内容：

（1）需要确定公司是否有识别、评价和缓解软件供应链风险的流程；

（2）有必要讨论软件供应链风险管理工作的范围，公司还必须说明是否考虑了所有类型的信息技术；

（3）如果公司计划不管理一个或多个业务服务或组件的软件供应链风险，则必须说明原因；

（4）需要对任何软件供应链风险评估的结果进行深入阐述，并按业务服务部门单独讨论。也就是说，如果某些业务服务的软件供应链风险评估已经完成，那么这些评估应该与尚未评估的业务服务分开讨论。

2. 对关键软件进行披露

根据第14028号总统行政令的要求，美国国家标准与技术研究院（NIST）负责制定软件物料清单。美国证券交易委员会可以要求公司披露其在何处以及在何种情况下使用下述软件：①如果软件受损或中断，将使机构遭受重大损失的软件；②属于NIST定义的关键软件。

3. 披露来自第三方软件供应商的风险

公司在使用由第三方开发的软件时会面临风险，如果公司无法获得第三方软件供应商的软件管理实践保障，则应就此发表声明。

信息来源：

https://www.rand.org/content/dam/rand/pubs/perspectives/PEA2000/PEA2072-1/RAND_PEA2072-1.pdf