详解软件供应链安全（上）

引言

软件供应链安全是我们总在谈及的话题，但由于并没有对自身产生具体的影响，关于供应链安全的理解还停留在重大安全事件的旁观中。

但事实上，软件开发中的新威胁不只与特定公司有关，整个软件供应链都是攻击者的目标。供应链流程包括将原材料、组件和资源转化为成品并将其交付给客户。所以我们要尽力保护每个环节，一旦有一个环节发生故障，一切都会受到影响。

本系列文章将分为上下两篇为您详解软件供应链安全。

软件供应链定义

软件供应链流程同其他行业类似，资源会以转换的形式被消耗，最终以产品或服务的终态交付给客户。在此过程中，所有环节和资源构成的网络，不仅包括设备的生产、存储、销售、交付等供应链环节，还延伸到产品的涉及、开发、集成等生命周期。

类比理解可以得到，在软件供应链中，原材料是将代码转换为最终可交付的库、代码或工具等。这种交付通常部署为面向用户的应用程序、供应链服务或定制产品等。我们可以简单理解为这是一个肉质罐头加工的过程，原始代码是生肉，最终交付的结果是罐头。罐头的终态由用户决定，可以是即食的也可以是能作为辅料的半成品。

为了帮助大家在软件供应链中理解，我们举一个简单的“栗子"：

为了给客户生成最终的"Web应用程序"，我们需要编译源码，在此过程中会依赖来自第三方的支持（包括但不限于组件、库等），当这一流程链条中引入某些恶意元素时，就会发生软件供应链攻击。

相较于传统的供应链攻击，在软件供应链中，由于供应链复杂性，攻击会从点到面进行蔓延，进而导致攻击面不断扩大。一旦成功攻击会造成受影响的代码或组件被传播到下游，又因没有察觉到问题已经发生，难以追溯漏洞出现的最初时间进而造成重大影响。

大多数情况下，攻击会通过在中间注入恶意软件或漏洞来破坏软件供应商，对客户造成致命后果。<