主要观点：数字生态系统依靠信任运转，现代软件开发中信任已成为弱点，软件供应链攻击呈上升趋势，攻击可通过依赖项潜入，多个攻击向量在现代软件供应链中交汇，各编程语言的包生态系统面临不同安全挑战，如 NPM、PyPI、Docker 等，CI/CD 管道集成可实现自动化防御，监控和事件响应至关重要，应从小处开始实施供应链安全措施。
关键信息：

• 2020 年 SolarWinds 事件表明攻击可通过污染软件更新实施。
• 现代攻击面包括依赖混淆、错字诱骗、恶意维护者等。
• NPM 有原生工具如 npm audit 及 Socket.dev 等工具用于安全检测。
• PyPI 面临独特挑战，pip-audit 等工具可用于安全扫描。
• Trivy 是容器漏洞扫描的金标准，Grype 专注于快速漏洞检测。
• CI/CD 管道集成可实现自动化防御，需平衡安全与速度。
• 监控和事件响应需使用 OSV.dev 等数据库，快速响应被攻击情况。
  重要细节：
• 典型 Node.js 应用依赖 400 多个包，依赖树呈指数增长。
• Socket.dev 可分析包行为，在威胁广为人知前发现恶意包。
• PyPI 中存在大量恶意仿冒包，Python Package Index 已采取措施应对。
• 容器生命周期各阶段都存在攻击机会，如恶意基础镜像等。
• GitHub Actions 和 GitLab CI 可用于安全自动化。
• 实践中应分阶段实施供应链安全措施，从获取可见性到增强扫描等。