> **来源:[研报客](https://pc.yanbaoke.cn)** # 2025年度软件供应链安全态势分析报告总结 ## 核心内容概览 本报告对2025年全球软件供应链安全态势进行了全面分析,涵盖了攻击趋势、政策法规、技术演进、典型案例及防护体系建设等多个维度。报告指出,随着数字化转型的推进和开源软件的广泛应用,软件供应链已成为网络安全的重要领域,攻击频率、规模和智能化程度均达到历史新高。 ## 主要观点 - **威胁态势持续升级**:2025年全球75%的组织遭遇了供应链攻击,攻击损失居各类攻击之首,平均成本高达444万美元。 - **开源生态成为重灾区**:开源软件广泛使用,但漏洞率高,73%的项目存在高危漏洞,57.4%存在超危漏洞,且投毒包数量同比增加71%。 - **攻击技术智能化与自动化**:AI技术被广泛用于构造钓鱼邮件、混淆代码及自动化传播,攻击效率和隐蔽性大幅提升。 - **合规要求日趋严格**:国内《网络安全法》首次重大修订,国际上美国、欧盟等国家和地区加强了对供应链安全的监管,如SBOM标准、NIS2指令等。 - **企业安全能力建设滞后**:70%的企业SLSA成熟度处于Level 0-1,缺乏全面的供应链安全防护机制。 ## 关键信息 ### 攻击态势 - 全球遭受供应链攻击的组织比例从2024年的45%上升至75%。 - 第三方相关数据泄露占比翻倍,达到30%。 - 投毒包总量突破120万个,日均新增超过200个。 - 恶意包下载尝试次数超过100亿次,较上年增长150%。 ### 开源安全风险 - 企业软件项目平均使用66个已知开源漏洞。 - 73%的项目存在高危开源漏洞,57.4%存在超危漏洞。 - 2025年新增开源漏洞10,320个,累计漏洞总量达74,500个。 ### CI/CD管道风险 - 主要风险包括:工作流注入、环境变量泄露、构建产物篡改、依赖链攻击、权限提升、密钥管理不当。 - GitHub Actions 供应链攻击(CVE-2025-30066)影响23,000+个仓库,暴露了CI/CD管道的安全隐患。 ### AI/ML供应链风险 - 主要风险包括:恶意模型投毒、训练数据污染、模型窃取、仿冒恶意包、提示注入攻击。 - 940多个AI模型文件被投毒,攻击者利用AI技术实现高度仿真的钓鱼攻击。 ## 典型案例分析 ### Shai-Hulud npm蠕虫事件 - **攻击手法**:利用拼写劫持和自动化传播技术,通过preinstall脚本注入恶意代码。 - **影响范围**:感染数千个下游项目,窃取敏感凭证。 - **孝道科技洞察**:标志供应链攻击从“单点投毒”向“自动扩散”转变,需建立全链路主动防御体系。 ### NPM史上最大规模供应链攻击 - **攻击手法**:AI赋能的钓鱼邮件和仿冒登录页面,劫持知名开发者账户。 - **影响范围**:18个核心NPM包,周下载量26亿次。 - **经济损失**:仅窃取约5美分加密货币,但潜在损失巨大。 - **孝道科技洞察**:传统“代码可信”模型失效,需转向“源头可信+过程可信+运行可信”治理模式。 ### GitHub Actions供应链攻击 - **攻击手法**:标签投毒,篡改Action版本引用。 - **影响范围**:23,000+个仓库,窃取大量CI/CD密钥。 - **孝道科技洞察**:暴露CI/CD信任链脆弱性,需加强构建产物完整性验证和运行时监控。 ### Bybit/SafeWallet供应链攻击 - **攻击手法**:通过社会工程学入侵SafeWallet开发团队,篡改交易签名逻辑。 - **影响范围**:全球多家大型企业,窃取价值14.6亿美元的以太坊资产。 - **孝道科技洞察**:供应链攻击转向“经济价值”竞争,需建立全生命周期安全治理机制。 ### DeepSeek仿冒恶意包事件 - **攻击手法**:仿冒热门AI工具包名,窃取系统环境变量和API密钥。 - **影响范围**:PyPI平台,攻击者通过DNS隧道外泄数据。 - **孝道科技洞察**:AI赋能的精准化攻击趋势明显,需加强供应链安全检测与响应。 ## 攻击技术演进趋势 1. **社会工程学攻击精细化与AI赋能**:AI技术被用于构造钓鱼邮件和仿冒页面,提升攻击成功率。 2. **代码混淆技术复杂化**:攻击者采用多层加密、控制流混淆等技术,增加恶意代码检测难度。 3. **攻击目标多元化**:攻击者从数据窃取扩展到加密货币盗窃、AI模型投毒等高价值目标。 4. **攻击工具自动化**:攻击者利用自动化工具链实现恶意包的批量生产和传播。 ## 防护体系与建设路径 ### 软件供应链安全防护体系 - **软件成分分析(SCA)**:识别和管理开源组件。 - **软件物料清单(SBOM)**:提升供应链透明度和可追溯性。 - **SLSA框架**:提供供应链安全等级划分和可信构建标准。 - **孝道科技解决方案**:提供AI驱动的供应链安全平台,涵盖多Agent交叉验证、运行时免疫防御、全链路检测等。 ### 企业建设路径 - **安全成熟度评估**:评估现有供应链安全能力。 - **建设路线图**:制定分阶段的供应链安全改进计划。 - **投资回报分析**:明确安全投入与风险降低之间的关系。 ## 2026年展望与建议 - **威胁趋势预测**:供应链攻击将更加隐蔽、智能化,AI技术将发挥更大作用。 - **企业行动建议**:加强供应链全生命周期管理,提升自动化检测与响应能力,完善SBOM管理机制,强化维护者账户安全。 ## 附录概览 - **数据来源说明**:来自Gartner、Verizon、IBM、Sonatype等权威机构。 - **术语表**:涵盖SCA、SBOM、SLSA等关键概念。 - **孝道科技介绍**:提供联系方式和免责声明。 - **安全检查清单**:包括组件管理、漏洞管理、构建安全、部署安全、应急响应、合规管理。 - **最佳实践案例**:金融、互联网、制造业等行业的安全实践。 - **技术工具推荐**:SCA、SBOM生成、恶意包检测、CI/CD安全工具。 - **DevSecOps实施指南**:涵盖DevSecOps概述、实施步骤和工具链。 - **未来技术趋势**:AI赋能安全、SBOM生态标准化、零信任架构、量子计算对供应链安全的影响。 ## 结语 2025年软件供应链安全态势呈现出“三高一扩”的特征:攻击频率高、损失高、AI赋能程度高、影响范围扩大。企业必须建立覆盖全生命周期的供应链安全防护体系,采用智能化手段应对新型威胁。孝道科技提供了一体化的解决方案,助力企业构建全方位的供应链安全防线。