该指南提出了客户在购买、部署和使用软件时应该遵循的实践方式，并提供了相关攻击场景和缓解措施。该指南建议客户注意所在组织机构的需求，包括安全和供应链风险管理（SCRM）活动、产品评估以及供应商评估，以缓解采购软件相关的风险：产品不满足需求、产品受漏洞影响或遭篡改、与受外国控制的或安全治理不良的供应商签订合同等。

对于软件部署，该指南建议客户在收到产品时进行全面检查、执行功能测试并从安全角度验证产品、设立产品生命周期管理委员会、确保产品与现有环境集成以及监控更新等。通过这些部署控制这些风险：被替代或不完整的产品、功能中的异常变更、使用未经验证的组件、出现恶意软件或恶意功能、数据泄露、基础设施被攻陷、产品报告不完整、出现支持问题、集成评估不完整或错误以及存在潜在的恶意或陷阱更新等。

该指南建议组织机构正确处理已达生命周期的或已被弃用的产品，并为新产品执行新的有效培训计划。

另外，指南建议软件客户了解产品的运营方式，确保找到漏洞和功能变更问题、及时更新应用、在组织机构受害前消除恶意软件。

信息来源：

https://www.securityweek.com/us-gov-issues-software-supply-chain-security-guidance-customers

https://media.defense.gov/2022/Nov/17/2003116445/-1/-1/0/ESF_SECURING_THE_SOFTWARE_SUPPLY_CHAIN_CUSTOMER.PDF