پاسخ کوتاه: حمله زنجیره تأمین بهجای هدف اصلی، یکی از اجزای مورد اعتماد او را آلوده میکند: کتابخانه متنباز، ابزار توسعه، بهروزرسانی نرمافزار یا پیمانکار. وقتی هزاران پروژه به یک بسته کوچک وابستهاند، تسخیر همان بسته یعنی دسترسی به همه آنها — پروندههایی مانند SolarWinds و xz-utils ابعاد فاجعه را نشان دادند. دفاع، به فهرست مواد نرمافزاری (SBOM)، امضای بستهها و بررسی وابستگیها گره خورده است.
معادل انگلیسی: Supply Chain Attack
پرسشهای پرتکرار درباره حمله زنجیره تأمین
چرا حملات زنجیره تأمین خطرناکترند؟
چون از مسیر «اعتماد» وارد میشوند: قربانی خودش نرمافزار آلوده را با میل نصب میکند و ابزارهای امنیتی نیز به اجزای امضاشده و رسمی کمتر مشکوک میشوند؛ دامنه آسیب هم یکباره هزاران سازمان است.
SBOM چیست؟
فهرست مواد نرمافزاری: سیاهه دقیق همه اجزا و وابستگیهای یک محصول. با آن میتوان هنگام کشف آسیبپذیری در یک کتابخانه، فوراً فهمید کدام محصولات آلودهاند.
توسعهدهنده چگونه خطر را کم کند?
قفلکردن نسخه وابستگیها، بررسی بستههای تازه قبل از افزودن، فعالکردن امضا و احراز دومرحلهای در مخازن، و اسکن مداوم وابستگیها در CI/CD حداقلهای امروزند.