Цепочка поставки.

Что означает готовый продукт? Интуитивно это должно быть понятно.

Продукт — это решение, которое удовлетворяет определённые потребности или решает конкретные проблемы пользователей. По факту — это результат потраченных человеческих, организационных, материальных и интеллектуальных ресурсов. 

Может быть физический товар, программное обеспечение, услуга или даже комбинация этих элементов. Главное — продукт должен приносить ценность своим пользователям. Сейчас многие продукты или целиком являются ИТ-продуктами, или имеют в своем составе существенную программную часть. И вот с доставкой такого продукта или его частей есть нюанс.

Цепочка поставок (software supply chain) — взаимосвязанная система ресурсов, участвующая в жизненном цикле продукта, от момента его проектирования до продажи или поставки конечному пользователю.

В процессе разработки ИТ-продуктов в большинстве случаев в игру вступают внешние продукты, библиотеки, различные инструменты и ресурсы, например, с открытыми исходниками, а сейчас стали появляться части, сгенерированные AI. 

При этом на любом этапе пути продукта к потребителю существует риск взлома. Его и называют атакой на цепочку поставок. Кстати, в атаках типа supply chain не редкость бэкдоры, как это было в случае с CCleaner и ASUS. 

Может показаться, что делегирование процессов поставщикам снимает ответственность за них. Но на деле это полноценная часть менеджмента рисков поставки артефактов от проектирования до самого прода.