阿里云優(yōu)惠券 先領(lǐng)券再下單

11月24日，永信至誠「數(shù)字風洞」安全團隊監(jiān)測到，一種名為 “Sha1-Hulud” 的蠕蟲式軟件供應(yīng)鏈投毒正在 NPM、GitHub 等主流開源生態(tài)中快速擴散。目前受影響的開源項目已超過 2.7 萬個，其中包含下載量過億的核心組件，攻擊規(guī)模和潛在影響遠超一般惡意包事件。

安全團隊分析研判發(fā)現(xiàn)，攻擊者通過竊取熱門組件維護者的發(fā)布憑證，將惡意代碼注入原本可信的包中。這類攻擊的隱蔽性極強：一旦企業(yè)在開發(fā)或構(gòu)建流程中引用了污染組件，惡意代碼便會自動執(zhí)行，在開發(fā)終端與流水線中竊取敏感信息，并借助蠕蟲機制進一步擴散。如果未能在第一時間識別污染版本，攻擊者就可能通過“被信任的依賴”進入企業(yè)內(nèi)部，形成持續(xù)性滲透。

基于本次蠕蟲變種具備的 自動傳播、高度鏈路化、可跨多平臺擴散等特性，永信至誠建議企業(yè)立即采取以下措施：

1.對開發(fā)終端、CI/CD 流水線及生產(chǎn)環(huán)境進行全面掃描，重點識別是否存在受污染的依賴組件，確認風險邊界。

2.檢查 GitHub 倉庫是否出現(xiàn)異常跡象，如倉庫描述含 “Sha1-Hulud: The Second Coming.” 的可疑內(nèi)容，或 .github/workflows 目錄中突然新增未知 workflow 文件。

更新相關(guān)憑證并收緊權(quán)限，包括云服務(wù)與代碼托管平臺訪問密鑰，盡量關(guān)閉非必要 API 權(quán)限，防止憑證被竊取后觸發(fā)進一步攻擊。

開源軟件供應(yīng)鏈脆弱性顯現(xiàn)

從單點突破向全鏈條擴散

“Sha1-Hulud”事件再次證明，當軟件體系高度依賴開源生態(tài)時，供應(yīng)鏈風險不再是理論場景，而是對所有政企單位的現(xiàn)實考驗。其背后體現(xiàn)的是整個行業(yè)的結(jié)構(gòu)性風險，而非單一漏洞。

開源組件廣泛應(yīng)用，準入機制薄弱：中國信通院數(shù)據(jù)顯示，超過 90% 的政企單位在研發(fā)中使用開源技術(shù)。開源加速了開發(fā)，但也意味著大量外部代碼在“無審核、弱門檻”的情況下直接進入企業(yè)產(chǎn)品，一旦出現(xiàn)投毒事件，就會迅速在生態(tài)中傳播。

依賴關(guān)系復(fù)雜，風險沿鏈傳遞：一個項目可能只有數(shù)十個直接依賴，但其傳遞性依賴往往成百上千。研究顯示，80% 的開源漏洞存在于傳遞性依賴中。開發(fā)者通常僅關(guān)注直接依賴，深層嵌套依賴長期處于“不可見”狀態(tài)，使惡意代碼更容易隱藏其間。

軟件資產(chǎn)不清晰，缺乏可用的 SBOM：很多企業(yè)無法回答一個基本問題：“我們的軟件中包含哪些組件？”缺乏 SBOM 導(dǎo)致無法快速定位風險范圍，“查不清、算不準”成為普遍難題。面對如本次事件的投毒預(yù)警，響應(yīng)速度取決于是否具備可查詢的軟件資產(chǎn)目錄。

傳統(tǒng)安全體系已不能覆蓋上游風險：傳統(tǒng)安全更關(guān)注網(wǎng)絡(luò)、主機、業(yè)務(wù)層，而供應(yīng)鏈攻擊發(fā)生在更“靠前”的環(huán)節(jié)——開發(fā)、構(gòu)建、發(fā)布鏈路。這意味著攻擊早于傳統(tǒng)安全的感知能力，企業(yè)只能被動應(yīng)對。

隨著開源生態(tài)進一步擴大、依賴鏈條繼續(xù)加深，政企用戶必須構(gòu)建一套可發(fā)現(xiàn)、可識別、可追蹤、可控制的軟件供應(yīng)鏈安全評估體系，以應(yīng)對這種跨鏈路、跨平臺的系統(tǒng)化風險。

永信至誠「數(shù)字風洞」軟件成分分析系統(tǒng)

構(gòu)建軟件供應(yīng)鏈的主動防御體系

要有效應(yīng)對供應(yīng)鏈投毒等攻擊，安全能力必須“左移”——將檢測、識別與風險治理提前到開發(fā)生命周期。永信至誠「數(shù)字風洞」軟件成分分析系統(tǒng)（SCA）正是為此類風險場景設(shè)計，通過自動解析軟件構(gòu)成，識別組件依賴、漏洞與合規(guī)風險，形成完整的供應(yīng)鏈防御能力。

精準檢測開源漏洞與惡意代碼

依托豐富的漏洞知識儲備和海量的組件版本數(shù)據(jù)，同步追蹤CNVD、CNNVD等權(quán)威漏洞庫最新信息，并結(jié)合威脅情報，平臺可精準識別組件中存在的已知安全漏洞和惡意軟件包。在開發(fā)早期階段自動發(fā)現(xiàn)并預(yù)警風險，避免帶病上線。

深度解析依賴關(guān)系，識別深層風險

平臺能夠穿透多層嵌套依賴，繪制完整依賴圖譜，定位潛伏在深層依賴中的惡意代碼。面對類似“Sha1-Hulud”變種蠕蟲的供應(yīng)鏈投毒，能夠快速追溯其來源路徑并分析內(nèi)部傳播鏈，降低排查成本，提高修復(fù)效率。

自動生成軟件物料清單（SBOM），實現(xiàn)資產(chǎn)可視化

平臺會自動掃描源代碼、制品、二進制文件，識別所有開源組件，生成可追蹤、可審計的 SBOM清單，實現(xiàn)對組織IT資產(chǎn)的自動化盤點，最終達到"可知、可控"。在收到漏洞或投毒情報時，企業(yè)能夠在分鐘級定位受影響范圍，不再依賴人工排查，大幅提升應(yīng)急速度。

靈活集成，順利嵌入 DevSecOps 流程

支持 Git、GitLab、CLI、文件上傳等多種方式，可在開發(fā)、構(gòu)建、測試環(huán)節(jié)自動觸發(fā)檢測，實現(xiàn)“流程內(nèi)安全”。不干擾正常開發(fā)流程，在問題源頭實現(xiàn)發(fā)現(xiàn)與修復(fù)，大幅降低后期修復(fù)成本，促進開發(fā)、安全、運維團隊協(xié)同治理供應(yīng)鏈風險。

供應(yīng)鏈攻擊的核心，是污染源頭影響全鏈路。在現(xiàn)代軟件體系中，“源頭是否可信”正在成為基礎(chǔ)安全能力的關(guān)鍵指標。

數(shù)字安全測試評估賽道領(lǐng)跑者、網(wǎng)絡(luò)靶場與人才建設(shè)領(lǐng)軍者、 AI「原生安全」倡導(dǎo)者，永信至誠將持續(xù)基于「數(shù)字風洞」產(chǎn)品體系，為企業(yè)構(gòu)建可見、可控、可防御的軟件供應(yīng)鏈安全能力，讓每一次構(gòu)建、每一次依賴更新、每一條交付鏈路都建立在可被驗證的信任基礎(chǔ)之上。

在快速演進的數(shù)字生態(tài)中，只有讓安全成為軟件生產(chǎn)力的一部分，企業(yè)才能保持長期健康、穩(wěn)定與可持續(xù)的發(fā)展。永信至誠將持續(xù)基于“產(chǎn)品乘服務(wù)”創(chuàng)新理念，為政企用戶提供堅實的數(shù)字安全底座，保障業(yè)務(wù)連續(xù)性，守護數(shù)字健康。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！