原標題：警惕軟件“供應鏈投毒”！

　　國家網絡安全通報中心監測發現，近期集中爆發多起供應鏈投毒攻擊事件，涉及開源軟件倉庫和商用工具兩大核心供應鏈場景。相關“供應鏈投毒”事件呈現攻擊隱蔽性強、影響范圍廣、危害程度高和傳播速度快的共性特征，可造成憑據遭竊取、遠程代碼執行和敏感數據泄露等嚴重危害。

　　攻擊來勢洶洶

　　軟件供應鏈，是軟件從組件獲取、開發集成、版本分發，直至交付終端用戶使用的全流程鏈條。與直接針對終端的網絡攻擊不同，“供應鏈投毒”是一種典型的“上游污染、下游傳導”模式。攻擊者通過劫持開發者官方賬號、篡改開源代碼倉庫源碼、污染軟件安裝包與發布版本等方式，將惡意程序植入各類軟件中。隨著軟件的發布與更新，這些潛伏的“毒瘤”便被源源不斷地輸送至海量終端設備。

　　鏈條環環相扣

　　軟件“供應鏈投毒”引發的并非單一節點的安全故障，而是全域感染的系統性危機。

　　——傳播范圍難以控制。基礎組件被數以萬計的軟件所依賴。一旦某個核心組件被污染，使用它的軟件都會受到波及，風險將隨著代碼依賴鏈不斷擴散。

　　——賬號密鑰不再安全。開發環境和服務器里往往保存著賬號密碼、API密鑰、加密證書等重要憑證。一旦這些“鑰匙”被竊取，可導致個人隱私、工作敏感信息泄露。

　　——終端設備淪為傀儡。被“投毒”的組件可能偷偷連接攻擊者服務器，接收遠程指令。攻擊者可借此竊取文件、數據，甚至將被控設備用于對外攻擊、非法“挖礦”。

　　——安全修復周期漫長。普通漏洞或許一個補丁就能解決，但“供應鏈投毒”往往要先查清上游組件問題，再逐一推動下游軟件更新、測試與重新發布，處置成本較高，周期較長。

　　防護處處留心

　　從開發廠商到運營平臺，再到億萬終端用戶，軟件供應鏈的安全離不開鏈條上的每一個主體，需要多管齊下、協同發力，才能抵御侵襲。

　　——守好“入口關”。軟件開發者要堅持從官方網站獲取開源組件、插件和研發工具，避免使用來源不明的網盤資源、破解版工具和第三方安裝包。在引入開源組件時，需依托國家級漏洞平臺核查組件漏洞與補丁信息。

　　——管住“依賴鏈”。研發管理部門要建立軟件物料清單管理機制，全面掌握系統中開源組件，第三方庫及插件工具的來源、維護、漏洞等情況，對長期無人維護、來源不清、版本過舊、權限過高的組件，應及時替換或降權使用。重點系統上線前，應開展代碼安全檢測、依賴項掃描和惡意代碼排查。

　　——看緊“運行端”。網絡運維部門要加強開發環境、測試環境、生產環境隔離，避免核心服務器、代碼倉庫、構建平臺直接暴露在公網。對服務器異常外聯、陌生進程啟動、異常賬號登錄、流量突然升高等情況，要及時預警處置。發現高風險組件后，應立即排查受影響系統，及時升級安全版本；暫時無法升級的，應采取斷網隔離、關閉相關功能、回退安全版本等措施。

　　——厘清“責任方”。單位用戶要明確軟件供應鏈安全責任部門和責任人，將開源組件使用、第三方軟件采購、系統上線驗收、安全更新處置納入日常管理。采購商業軟件、外包開發和技術服務時，應在合同中明確安全檢測、漏洞修復、組件來源、數據保護和應急響應責任，不能只重功能、不問安全。

　　——避開“非官方”。個人用戶盡量通過官方網站、正規應用商店下載軟件，不隨意安裝破解版、綠色版以及來歷不明的插件，不輕易運行陌生腳本和命令。收到軟件更新提示時，應優先核實來源，不點擊不明鏈接下載所謂“補丁包”“增強版”“內部版”。