📦 供应链安全概述

04-01 | 供应链安全供应链SBOM第三方

📌 一句话概括

软件供应链安全关注从开发到部署全链路中第三方组件、工具、服务的安全风险——SolarWinds、Log4j等事件证明，攻击者正越来越多地通过供应链"侧面攻击"而不是直接攻击目标。

💡 供应链攻击链

环节	风险	银行应对
开源依赖	恶意包投毒、已知CVE	依赖扫描、版本锁定
CI/CD管道	流水线注入、密钥泄露	Pipeline签名、凭证管理
第三方SDK	SDK后门、数据外传	SDK安全审计、沙箱运行
软件更新	更新包篡改、降级攻击	签名验证、更新链保护

🔍 测试实战

1. 第三方依赖审计

操作：扫描项目所有依赖，识别已知漏洞版本

工具：OWASP Dependency-Check、Trivy、Snyk

2. 恶意包检测

操作：检查依赖包中的可疑行为（安装后执行脚本、域名请求）

工具：Package Guard、Socket.dev

⚠️ 常见坑点

只在开发阶段扫描不监控运行时依赖——运行时的实际加载版本可能不同
忽略传递依赖（依赖的依赖）——大部分漏洞在传递依赖中
内部私有包不纳入管理——同样存在安全风险

📖 延伸阅读

← ← API Fuzzing SBOM管理与实践 → →