2025年5月7日，英国政府正式推出自愿性《软件安全实践准则》，旨在帮助软件供应商及其客户降低供应链攻击和其他相关事件的可能性和影响。该准则主要通过四大主题、14项原则提升软件全生命周期安全性。

（1）安全地设计开发

供应商的高级负责人应确保其销售的任何软件和软件服务符合以下原则：①遵循既定的安全开发框架；②理解软件的构成，并在整个软件开发生命周期内评估引入和维护第三方组件相关的风险；③在分发之前，设立明确的流程对软件及其更新进行测试；④在软件的整个开发生命周期中，遵循“安全设计”和“默认安全”的原则。

（2）构建环境防护

供应商的高级负责人应确保其销售的任何软件和软件服务符合以下原则：①保护构建环境免受未经授权的访问；②控制和记录构建环境的变更。

（3）安全部署和维护

供应商的高级负责人应确保其销售的任何软件和软件服务符合以下原则：①确保软件安全地分发给客户；②实施并发布有效的漏洞披露流程；③制定流程和文档，以主动检测、优先处理和管理软件组件中的漏洞；④在适当的情况下向相关方报告漏洞；⑤向客户提供及时的安全更新、补丁和通知。

（4）与客户沟通

供应商的高级负责人应确保其销售的任何软件和软件服务符合以下原则：①向客户提供信息，明确说明针对所销售软件提供的支持和维护水平；②至少提前一年通知客户，供应商不再支持和维护软件的时间；③向客户提供可能对客户造成重大影响的重大事件的信息。

信息来源：

https://industrialcyber.co/supply-chain-security/uk-launches-software-security-code-of-practice-to-set-baseline-for-resilience-strengthen-digital-supply-chains/

https://www.gov.uk/government/publications/software-security-code-of-practice

https://www.gov.uk/government/publications/software-security-code-of-practice/software-security-code-of-practice