Gli importatori e i distributori sono partner di canale che immettono un prodotto software in un nuovo mercato, come l'UE, per conto del produttore o del vendor. Nel contesto della sicurezza informatica e delle normative, non sono solo attori logistici: possono avere obblighi legali di verificare che il prodotto sia correttamente identificato, documentato e sicuro da immettere sul mercato.
Questo è importante perché norme come il Cyber Resilience Act dell'UE possono estendere gli obblighi di conformità oltre lo sviluppatore originario. Se un prodotto arriva senza un SBOM, senza indicazioni sullo stato delle vulnerabilità o senza una documentazione chiara, importatori e distributori potrebbero dover sospendere le vendite, richiedere prove o contribuire a coordinare la correzione. Nelle difese reali, questi partner agiscono come punto di controllo: possono bloccare software chiaramente non conforme, conservare i registri della supply chain e garantire che gli avvisi di sicurezza raggiungano i clienti. Negli attacchi, un controllo debole del canale può consentire a software rischioso o manomesso di entrare nella distribuzione con poca verifica, rendendo il partner parte della catena di esposizione.