2025年，我国在软件供应链安全的法治与标准化建设上取得关键进展，通过法律修订、地方立法和国家标准实施，进一步夯实了主体责任与管理框架。与此同时，国际社会围绕软件成分透明化加速协同，其形成的规则动向既提供了参考，也对产业的全球化发展带来了新的合规考量。

  10月28日，十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定，自2026年1月1日起施行。2016年制定的网络安全法是网络安全领域的基础性法律。新版网络安全法第四十八条强调了电子信息发送服务提供者和应用软件下载服务提供者在软件供应链安全中的责任。这要求他们不仅需要确保其提供的软件本身不含有恶意程序或非法信息，还需要积极履行安全管理义务，例如建立安全审查机制，及时有效地发现和处置用户发送的恶意软件或含有非法信息的软件。同时，他们还需要与用户合作，共同维护软件供应链的安全。

  【评论】这对国内应用商店、开源镜像站、企业软件仓库等所有软件分发环节提出了更高的合规与审查要求，我国软件供应链安全治理的重点开始向规范分发渠道与生态责任延伸。

  2025年5月1日，新修订的《江苏省软件产业促进条例》正式施行。作为全国首部省级软件产业促进条例，其修订版本明白准确地提出“支持构建政府、软件企业、社会多方协同的数据安全和网络安全治理模式，加强软件源代码检测和安全漏洞管理，保障产业安全发展”。

  【评论】这两项国家标准的实施与发布，从管理要求和过程能力两个维度，共同为构建安全可靠的国内软件供应链奠定了体系化的标准基础。

  国际协同行动，定义软件成分透明新基线日，英国政府正式推出自愿性《软件安全实践准则》，概述了四大主题（安全的设计开发、构建环境、安全部署和维护、与客户沟通）下的14项供应商原则，为市场软件安全性和弹性设定了统一基线，旨在帮助软件供应商与其客户减少供应链攻击以及与韧性相关事件发生的可能性和影响。

  8月，美国网络安全和基础设施安全局（CISA）发布了《软件物料清单（SBOM）最基础要素》更新草案。这是自2021年美国国家电信和信息管理局（NTIA）发布首个SBOM标准以来最重要的一次更新，核心在于推动SBOM从静态清单转变为动态、可操作的安全数据源。

  9月，美国国家安全局（NSA）、网络安全和基础设施安全局（CISA）联合德国、法国、日本、新加坡等19个国际合作伙伴共同发布了一份指南—《软件物料清单（SBOM）共同愿景》，旨在为保障网络安全建立国际共识，明确SBOM在提升漏洞管理效率、改善软件进程、辅助采购决策等方面的价值。

  【评论】 美英等国在规则上的协同，旨在将安全开发实践与软件成分透明确立为全球市场准入门槛。这警示国内产业必须前瞻性内化国际规则，才能在未来竞争中维护市场准入资格并积累话语权。

  2025年软件供应链攻击的演进态势表明，其威胁已从针对单一节点的离散攻击，发展为覆盖上游供应商、开发工具链、开源依赖生态及自动化传播渠道的体系化作战，揭示了从信任建立、过程构建到交付部署的全链条脆弱性。

  2025年哈尔滨第九届亚冬会期间，赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击。网络攻击行为主要是通过探测扫描获取相关网络资产的指纹信息，并利用Windows系统中已存在但未公开的漏洞或Web系统注入漏洞实施入侵。针对赛事信息系统的网络攻击大多数来源于美国，占比高达63.24%。经查，美国国家安全局（NSA）特定入侵行动办公室3名特工参与实施了上述网络攻击活动。技术团队还发现，亚冬会期间美国国家安全局向黑龙江省内多个基于微软Windows操作系统的特定设备发送未知加密字节，疑为唤醒、激活微软Windows操作系统提前预留的特定后门。

  【评论】在高度集成的数字活动中，任何外部接入的第三方系统、软件或服务都有几率会成为攻击跳板，必须对供应链上的所有实体实施最小权限访问和持续威胁监测。

  GitHub平台上名为tj-actions/changed-files 的Action（一种自动化工具）遭遇了一起严重的供应链攻击，该工具被超过 2.3 万个代码库使用。攻击者在3月14日之前的某个时刻入侵了tj-actions/changed-files项目，并修改了其代码，导致开发者的机密信息泄露到构建日志中，这一些信息可能包括API密钥、密码和访问令牌等，尤其在公共仓库中，这一些信息将被任何人看到。Wiz 威胁研究团队已经确定了数十个受此事件影响的代码库，这中间还包括大型机构运营的代码库。这些受到攻击的代码库作为数百万个应用程序的依赖项，大大加剧了此次安全事件会造成的影响区域和危害程度。

  【评论】此事件揭示了开发工具链劫持的巨大风险。攻击者通过污染一个被广泛集成的自动化组件，就能自动化地危及下游数百万项目，凸显了现代CI/CD流程中第三方工具的单一故障点隐患。

  Nx是一款开源代码库管理平台，是NPM生态系统遭软件供应链攻击的最新目标，8月26日，Nx的多个恶意版本被上传到NPM注册表中。Wiz公司研究人员提到，这些遭投毒的Nx包遭恶意软件感染，可嗅探研发人员的机密，如GitHub和NPM令牌、SSH密钥以及加密钱包详情。此次攻击中，超过1000个合法的 GitHub 令牌被泄露，约2万个文件被盗和遭泄露，以及数十个有效的云凭据和NPM令牌被盗。

  【评论】这标志着攻击重心转向开源依赖生态的源头污染。通过投毒基础开发工具，攻击者旨在从最上游窃取高价值凭证，使软件供应链的源头开发环节成为风险最高的战场。

  Sha1-Hulud蠕虫攻击波及超2.5万个代码库，通过npm预安装脚本窃取凭证

  11月下旬，第二代Shai-Hulud蠕虫疯狂蔓延，通过npm仓库和GitHub大规模传播。该蠕虫不仅能窃取开发者密钥、CI/CD凭证，还新增权限提升、数据删除等破坏性功能，传播速度较初代提升数倍，已入侵超800个npm软件包，波及2.7万个代码库。这波供应链攻击瞄准了AsyncAPI、Postman、PostHog、Zapier和ENS等知名组织的核心依赖项，受影响的软件包每月下载量高达1.32亿次，影响区域极广。此次事件共泄露294,842条密钥记录，包括GitHub访问令牌、GitHub OAuth令牌、AWS IAM密钥、OpenAI项目API密钥等。

  【评论】此次蠕虫攻击展现了依赖项污染已实现自动化武器化传播。它利用开源生态的依赖网络自我复制与扩散，其速度和规模提醒我们一定要建立动态的生态级威胁监控体系。

  2025年，我国软件供应链生态建设呈现从被动防御向主动构建的战略转型，通过系统性的计划、评估、研发与平台建设，着力培育内生安全能力。国际开源安全领域的重要进展，也为国内生态的治理水平提升与对标实践提供了有价值的参考框架。

  在中央网信办指导下，中国网络空间安全协会联合中国互联网发展基金会、32所高校网络安全学院以及国内开源社区，共同组织实施的“开源安全奖励计划”2025年度工作于10月真正开始启动。该计划旨在鼓励并支持高校网络安全学院师生热情参加开源生态建设，提升我国在开源领域的安全能力与创新水平。2025年开源安全奖励计划设置原创开源软件、开源漏洞挖掘、开源软件重写和国内开源社区贡献四大赛道。全部赛程预计于2026年5月底前完成。

  【评论】这项主管部门指导的激励计划旨在加强提前发现和修复潜在风险的能力，并为中国软件供应链储备具备安全意识和能力的未来开发者与维护者。

  3月26日，“开源开放社区软件供应链生态分析”项目真正开始启动。“开源开放社区软件供应链生态分析”属于“十四五”国家重点研发计划“先进计算与新兴软件”专项下项目，共设置五个课题。此项目由麒麟软件牵头，联合工业与信息化部电子第五研究所、中国科学院软件研究所、国防科技大学、北京航空航天大学、国家工业信息安全发展研究中心、上海交通大学等单位一同承担。项目针对“如何评估开源软件质量”“如何保障供应链安全”“如何应用生态评估结果”开展关键技术探讨研究和应用验证，以操作系统软件仓库为抓手，支撑以数据库、AI框架为代表的基础软件生态供应链管理。

  7月24日，国家工业信息安全发展研究中心牵头建设的“链图·软件物料清单管理服务平台”在2025开放原子开源生态大会软件物料清单（SBOM）分论坛上正式对外发布。平台整合全球开源项目信息，面向个人开发者、企业用户、开源社区与重点行业等4类用户更好的提供差异化SBOM全生命周期管理，包含溯源图谱、多维兼容、智慧内核、灵活部署4大能力亮点。

  【评论】 “链图”平台发布与首批标准符合性名单公布，共同标志着我国自主SBOM标准完成了从文本到服务再到市场采信的落地闭环，正在培育“透明生产、透明采购”的市场新生态。

  OpenSSF 发布开源项目安全基线月，开源安全基金会（OpenSSF）发布了开源项目安全基线，为核心的开源软件包定义了三个项目成熟度等级，详细规定了每个等级在安全开发、依赖管理、漏洞披露和构建安全等方面的具体实际的要求。基线的定义还考虑了欧盟《网络弹性法案》和美国《安全软件开发框架》中的要求，以便维护者和开源软件制造商可以依据它来更好地满足监管要求。

  【评论】这项国际基线为我国管理和选用开源软件提供了分级对标的国际框架，国内行业可借此检视自身并制定符合国情的指南，实现与国际最佳实践的接轨与主动对话。

  平台声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。