软件供应链安全危机：为什么每个组织现在都是软件供应商

从SolarWinds到XZ Utils，供应链攻击使第三方代码成为最大安全风险

软件供应链攻击已成为复杂网络行动的主要威胁向量，将每个使用开源软件的组织转变为潜在目标，将每个开发者转变为安全利益相关者。

问题的规模

软件供应链攻击急剧升级：

• SolarWinds（2020）：俄罗斯情报机构通过软件更新入侵18,000+组织
• Log4Shell（2021）：单个开源库漏洞影响数百万应用
• XZ Utils（2024）：受信任贡献者通过两年耐心的社会工程学植入后门
• 3CX（2023）：通过被入侵的交易平台软件进行的供应链攻击
• Codecov（2021）：CI/CD工具被入侵以窃取开发者凭证

为什么供应链易受攻击

多个因素使软件供应链成为有吸引力的目标：

• 依赖复杂性：平均应用有500+直接和传递依赖
• 信任假设：开发者信任来自公共注册表的包而不验证
• 集中风险：大多数项目依赖少数维护者
• CI/CD管道暴露：具有广泛访问权限的构建系统通常安全不足
• 不透明更新：未经安全审查的自动依赖更新

SBOM要求

软件物料清单要求正变得强制性：

• 美国行政命令14028：要求向联邦政府销售的软件提供SBOM
• 欧盟网络弹性法案：要求具有数字元素的产品提供SBOM
• FDA：医疗器械制造商必须提供SBOM
• 行业采用：金融服务和汽车行业采用SBOM要求

新兴防御技术

安全行业正在开发新的供应链防御工具：

• Sigstore：软件工件的加密签名和验证
• SLSA框架：软件工件供应链级别提供成熟度模型
• Guac：开源供应链安全知识图谱
• 依赖审查：GitHub和GitLab集成自动化依赖扫描
• 可重现构建：确保二进制工件与源代码完全匹配

开源可持续性危机

供应链安全取决于开源维护者安全：

• 关键包由志愿者维护：一些最常用的包只有1-2个维护者
• 资金缺口：关键基础设施由资金不足的个人维护
• 倦怠：维护者疲劳导致关键包交接给恶意行为者
• 企业搭便车：公司在不贡献维护的情况下依赖开源

意义

软件供应链安全不再是一个小众关注点——它是现代软件生态系统的决定性安全挑战。每个组织现在必须将其依赖树视为攻击面，将其CI/CD管道视为关键安全边界。SBOM要求、签名框架和改进的工具组合正在提高基线，但根本挑战仍然存在：软件生态系统依赖数千名资金不足的维护者，他们本身就是目标。可持续安全需要可持续的开源资金。

来源：基于2026年软件供应链安全发展的分析