1、不是需要更多的安全软件不是需要更多的安全软件 而是需要更安全的软件而是需要更安全的软件杭州孝道科技有限公司（安全玻璃盒）20252025 年度软件供应链安全年度软件供应链安全态势分析报告态势分析报告2025 Software Supply Chain Security Situation Analysis Report发布单位：杭州孝道科技有限公司不是需要更多的安全软件不是需要更多的安全软件 而是需要更安全的软件而是需要更安全的软件I目目 录录摘要.1核心发现.3第一章 研究背景与政策依据.51.1 研究背景.51.2 政策法规依据.51.2.1 国内政策法规体系.51.2.2 国际政策法规动

2、态.7第二章 软件供应链安全风险态势分析.92.1 全球软件供应链攻击态势.92.2 开源生态安全风险分析.112.3 CI/CD 管道安全风险分析.132.4 AI/ML 供应链安全风险分析.13第三章 典型案例深度分析.153.1 Shai-Hulud npm 蠕虫事件深度分析.153.1.1 事件背景.153.1.2 攻击手法分析.153.1.3 攻击代码分析.163.1.4 影响范围评估.183.2 NPM 史上最大规模供应链攻击事件分析.193.2.1 事件背景.193.2.2 攻击手法分析.193.2.3 攻击代码分析.193.2.4 影响范围评估.213.3 GitHub Act

3、ions 供应链攻击事件分析.213.3.1 事件背景.22不是需要更多的安全软件不是需要更多的安全软件 而是需要更安全的软件而是需要更安全的软件II3.3.2 攻击手法分析.223.3.3 攻击代码分析.223.3.4 影响范围评估.243.4 其他重大供应链攻击事件.243.4.1 Bybit/SafeWallet 供应链攻击事件.243.4.2 s1ngularity Nx npm 供应链攻击事件.253.4.3 DeepSeek 仿冒恶意包事件.263.5 攻击技术演进趋势.283.5.1 社会工程学攻击精细化与 AI 赋能.283.5.2 代码混淆技术复杂化.293.5.3 攻击目标

4、多元化.293.5.4 攻击工具自动化.30第四章 软件供应链安全防护体系.314.1 软件成分分析（SCA）技术.314.2 软件物料清单（SBOM）管理.314.3 SLSA 框架与供应链等级.324.4 孝道科技解决方案.34第五章 企业软件供应链安全建设路径.395.1 安全成熟度评估.395.2 建设路线图.405.3 投资回报分析.41第六章 2026 年展望与建议.436.1 威胁趋势预测.436.2 企业行动建议.45附录 A 数据来源说明.46附录 B 术语表.47不是需要更多的安全软件不是需要更多的安全软件 而是需要更安全的软件而是需要更安全的软件III附录 C 关于杭州孝

5、道科技有限公司.48C.1 联系方式.48C.2 免责声明.48附录 D 软件供应链安全检查清单.49D.1 组件管理检查.49D.2 漏洞管理检查.49D.3 构建安全检查.49D.4 部署安全检查.49D.5 应急响应检查.50D.6 合规管理检查.50附录 E 行业最佳实践案例.51E.1 金融行业案例.51E.2 互联网行业案例.51E.3 制造业案例.52附录 F 技术工具推荐.52F.1 软件成分分析（SCA）工具.52F.2 SBOM 生成工具.53F.3 恶意包检测工具.53F.4 CI/CD 安全工具.54附录 G DevSecOps 实施指南.55G.1 DevSecOps

6、 概述.55G.2 DevSecOps 实施步骤.55G.3 DevSecOps 工具链.56附录 H 未来技术发展趋势.58H.1 AI 赋能安全.58H.2 SBOM 生态标准化与互操作性.59不是需要更多的安全软件不是需要更多的安全软件 而是需要更安全的软件而是需要更安全的软件IVH.3 零信任架构与供应链安全.60H.4 量子计算与供应链安全.60结语.62不是需要更多的安全软件不是需要更多的安全软件 而是需要更安全的软件而是需要更安全的软件1摘要摘要随着数字化转型的深入推进和开源软件的广泛应用，软件供应链安全已成为网络安全领域的关键议题。2025 年期间，全球范围内软件供应链攻击事件