《报告》指出，供应链攻击正呈现出隐蔽性高且潜伏期长，逐步进行深入渗透；影响范围广泛；利用信任与依赖关系，难以预防；技术手段高超，攻击者往往是有实力的幕后组织或个人等显著特点。一旦发生攻击事件，往往对整个产业链造成连锁反应。从制造业到金融业，从医疗健康到信息技术，无一幸免。这些攻击不仅导致经济损失，还可能引发信任危机，损害企业声誉，甚至对社会稳定和国家安全构成威胁。所以供应链安全管理至关重要，关乎企业稳定运营和国家经济安全，必须严阵以待。

近年来，国家层面高度重视供应链安全问题，不断建立健全相关法律法规、标准制度，面临日益严峻的合规性压力。《网络安全法》《网络安全审查办法》和《关键信息基础设施安全保护条例》针对供应链安全提出了要求，包括对可能影响国家安全的设施进行安全审查、网络产品和服务提供者应配合审查并承诺避免危及供应链安全的行为、安全审查时考虑供应链风险方面的因素、优先采购安全可信的网络产品和服务、与提供者签署协议等。

近年来，供应链攻击的发生频率呈明显增长趋势，攻击者利用供应链网络固有的复杂性和互联性，通过恶意软件植入、代码篡改、供应链流程破坏等方式，实现了对目标组织的深度渗透和控制。根据数据调查，仅从 2014 年第一季度来看，就已经监测到了近 20 起有影响力的攻击案例，其中多起攻击活动通过冒充或修改流行 PYPI 软件包，进而利用软件供应链传播信息窃取软件或挖矿软件等进行攻击。以下是近几年一系列标志性的供应链攻击事件：

2024年3月，微软开发人员在liblzma/xz工具和动态库中发现一个涉及混淆恶意代码的供应链攻击。

2023年12月，黑客团伙借助微软应用商店进行7ZIP软件供应链投毒。

2023年10月，身份安全公司Okta遭黑客攻击，市值蒸发20亿。

2023年3月，3CX企业级电话管理系统供应商遭遇供应链攻击。

2022年3月，黑客针对NPM存储库，发布近800个恶意NPM包。

2021年11月，Log4j漏洞影响全球多个服务供应商。

涉及供应商数量众多，且可能存在层层转包的现象，运营者难以理清供应关系，透明度低，供应链安全管理难度大。管理制度不完善，安全评估缺失

缺乏可落地的供应链安全管理体系，缺少对供应链安全管理的有效手段和措施，如软件供应链安全评估、软件供应商安全检查等。重视程度不够，干系人管理不到位

往往更加注重通过技术手段保护软件安全，对为其提供设计、建设、运维、技术服务的供应商和人员的服务过程安全管理不足。

软件开发大量引入开源和第三方组件，供应商缺少产品安全开发流程、产品安全漏洞快速响应机制、供应链安全风险监测机制等，导致无法及时处置供应链安全风险。

面对日益严峻的供应链安全风险隐患和日益严格的合规需求，道普信息第三方风险管控专家提出，通过供应链安全管控来有效应对安全威胁，满足监管要求。