2025年软件供应链安全大事盘点

10月28日，十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定，自2026年1月1日起施行。2016年制定的网络安全法是网络安全领域的基础性法律。新版网络安全法第四十八条强调了电子信息发送服务提供者和应用软件下载服务提供者在软件供应链安全中的责任。这要求他们不仅需要确保其提供的软件本身不含有恶意程序或非法信息，还需要积极履行安全管理义务，例如建立安全审查机制，及时发现和处置用户发送的恶意软件或含有非法信息的软件。同时，他们还需要与用户合作，共同维护软件供应链的安全。

2025年5月1日，新修订的《江苏省软件产业促进条例》正式施行。作为全国首部省级软件产业促进条例，其修订版本明确提出“支持构建政府、软件企业、社会多方协同的数据安全和网络安全治理模式，加强软件源代码检测和安全漏洞管理，保障产业安全发展”。

国家标准《网络安全技术 软件供应链安全要求》（GB/T 43698-2024）于2024年发布，2025年进入全面实施阶段。它从组织管理和供应活动管理两大维度，明确了供需双方的安全要求，为行业提供了统一的、可操作的规范，为企业构建全生命周期的防护网提供了顶层设计 。

2025年10月15日，《软件过程能力成熟度模型》国家标准（GB/T 45989-2025）发布。该标准确立了软件过程能力成熟度框架，规定了战略与治理、开发与交付、管理与支持和组织保障四组能力域在五个成熟度等级中的能力要求，并在管理与支持能力域中明确提出了对软件物料清单管理能力的要求。

【评论】这两项国家标准的实施与发布，从管理要求和过程能力两个维度，共同为构建安全可靠的国内软件供应链奠定了体系化的标准基础。

5月7日，英国政府正式推出自愿性《软件安全实践准则》，概述了四大主题（安全的设计开发、构建环境、安全部署和维护、与客户沟通）下的14项供应商原则，为市场软件安全性和弹性设定了统一基线，旨在帮助软件供应商与其客户减少供应链攻击以及与韧性相关事件发生的可能性和影响。

8月，美国网络安全和基础设施安全局（CISA）发布了《软件物料清单（SBOM）最基础要素》更新草案。这是自2021年美国国家电信和信息管理局（NTIA）发布首个SBOM标准以来最重要的一次更新，核心在于推动SBOM从静态清单转变为动态、可操作的安全数据源。

9月，美国国家安全局（NSA）、网络安全和基础设施安全局（CISA）联合德国、法国、日本、新加坡等19个国际合作伙伴共同发布了一份指南—《软件物料清单（SBOM）共同愿景》，旨在为保障网络安全建立国际共识，明确SBOM在提升漏洞管理效率、改善软件进程、辅助采购决策等方面的价值。

【评论】 美英等国在规则上的协同，旨在将安全开发实践与软件成分透明确立为全球市场准入门槛。这警示国内产业必须前瞻性内化国际规则，才能在未来竞争中维护市场准入资格并积累话语权。

2025年哈尔滨第九届亚冬会期间，赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击。网络攻击行为主要通过探测扫描获取相关网络资产的指纹信息，并利用Windows系统中已存在但未公开的漏洞或Web系统注入漏洞实施入侵。针对赛事信息系统的网络攻击主要来自美国，占比高达63.24%。经查，美国国家安全局（NSA）特定入侵行动办公室3名特工参与实施了上述网络攻击活动。技术团队还发现，亚冬会期间美国国家安全局向黑龙江省内多个基于微软Windows操作系统的特定设备发送未知加密字节，疑为唤醒、激活微软Windows操作系统提前预留的特定后门。

【评论】在高度集成的数字活动中，任何外部接入的第三方系统、软件或服务都可能成为攻击跳板，必须对供应链上的所有实体实施最小权限访问和持续威胁监测。

GitHub平台上名为tj-actions/changed-files 的Action（一种自动化工具）遭遇了一起严重的供应链攻击，该工具被超过 2.3 万个代码库使用。攻击者在3月14日之前的某个时刻入侵了tj-actions/changed-files项目，并修改了其代码，导致开发者的机密信息泄露到构建日志中，这些信息可能包括API密钥、密码和访问令牌等，尤其在公共仓库中，这些信息将被任何人看到。Wiz 威胁研究团队已经确定了数十个受此事件影响的代码库，其中包括大型机构运营的代码库。这些受到攻击的代码库作为数百万个应用程序的依赖项，大大加剧了此次安全事件可能造成的影响范围和危害程度。

【评论】此事件揭示了开发工具链劫持的巨大风险。攻击者通过污染一个被广泛集成的自动化组件，就能自动化地危及下游数百万项目，凸显了现代CI/CD流程中第三方工具的单一故障点隐患。

Nx是一款开源代码库管理平台，是NPM生态系统遭软件供应链攻击的最新目标，8月26日，Nx的多个恶意版本被上传到NPM注册表中。Wiz公司研究人员提到，这些遭投毒的Nx包遭恶意软件感染，可嗅探开发人员的机密，如GitHub和NPM令牌、SSH密钥以及加密钱包详情。此次攻击中，超过1000个合法的 GitHub 令牌被泄露，约2万个文件被盗和遭泄露，以及数十个有效的云凭据和NPM令牌被盗。

11月下旬，第二代Shai-Hulud蠕虫疯狂蔓延，通过npm仓库和GitHub大规模传播。该蠕虫不仅能窃取开发者密钥、CI/CD凭证，还新增权限提升、数据删除等破坏性功能，传播速度较初代提升数倍，已入侵超800个npm软件包，波及2.7万个代码库。这波供应链攻击瞄准了AsyncAPI、Postman、PostHog、Zapier和ENS等知名组织的核心依赖项，受影响的软件包每月下载量高达1.32亿次，影响范围极广。此次事件共泄露294,842条密钥记录，包括GitHub访问令牌、GitHub OAuth令牌、AWS IAM密钥、OpenAI项目API密钥等。

 【评论】此次蠕虫攻击展现了依赖项污染已实现自动化武器化传播。它利用开源生态的依赖网络自我复制与扩散，其速度和规模提醒我们必须建立动态的生态级威胁监控体系。

在中央网信办指导下，中国网络空间安全协会联合中国互联网发展基金会、32所高校网络安全学院以及国内开源社区，共同组织实施的“开源安全奖励计划”2025年度工作于10月正式启动。该计划旨在鼓励并支持高校网络安全学院师生积极参与开源生态建设，提升我国在开源领域的安全能力与创新水平。2025年开源安全奖励计划设置原创开源软件、开源漏洞挖掘、开源软件重写和国内开源社区贡献四大赛道。全部赛程预计于2026年5月底前完成。

【评论】这项主管部门指导的激励计划旨在加强提前发现和修复潜在风险的能力，并为中国软件供应链储备具备安全意识和能力的未来开发者与维护者。

12月25日，中国网络安全审查认证和市场监管大数据中心正式发布《关于开展软件供应链安全能力评估工作的通知》。该工作旨在通过对相关机构的软件供应链安全管理能力和开源代码安全评价能力进行系统性评估，推动行业建立和完善软件供应链安全保障体系。评估内容覆盖软件设计、开发、交付、运维等全生命周期的安全管理实践，以及对开源组件引入、使用、维护等环节的安全风险识别与管控能力，标志着软件供应链安全从原则性要求进入可量化、可检验的实质推动阶段。

3月26日，“开源开放社区软件供应链生态分析”项目正式启动。“开源开放社区软件供应链生态分析”属于“十四五”国家重点研发计划“先进计算与新兴软件”专项下项目，共设置五个课题。此项目由麒麟软件牵头，联合工业和信息化部电子第五研究所、中国科学院软件研究所、国防科技大学、北京航空航天大学、国家工业信息安全发展研究中心、上海交通大学等单位共同承担。项目针对“如何评估开源软件质量”“如何保障供应链安全”“如何应用生态评估结果”开展关键技术研究和应用验证，以操作系统软件仓库为抓手，支撑以数据库、AI框架为代表的基础软件生态供应链管理。

2月，开源安全基金会（OpenSSF）发布了开源项目安全基线，为核心的开源软件包定义了三个项目成熟度等级，详细规定了每个等级在安全开发、依赖管理、漏洞披露和构建安全等方面的具体要求。基线的定义还考虑了欧盟《网络弹性法案》和美国《安全软件开发框架》中的要求，以便维护者和开源软件制造商可以依据它来更好地满足监管要求。

【评论】这项国际基线为我国管理和选用开源软件提供了分级对标的国际框架，国内行业可借此检视自身并制定符合国情的指南，实现与国际最佳实践的接轨与主动对话。