供应链软件平台是很多公司都会使用的软件，但是很多时候这些供应链平台软件上暗藏着不同的风险和危害。那么作为供应链软件平台，我们应该如何检测出这其中的风险呢?接下来就为大家介绍供应链平台可能会遇到哪些危害。

　　风险种类和危害

　　固件安全问题日益严峻，固件风险应该如何解决?以当代智能模糊测试技术和程序分析技术为核心、以软件全流程负面测试为研发方向，作为国际首批、国内首家从事商业化智能模糊测试技术的科技公司，安般科技于2019年8月推出自主研发的设备固件供应链安全自动化检测平台——易识固件供应链安全管理系统，并在2021年完成产品标准化，目前已被广泛应用于汽车、电力、石油、石化、金融、军工、政府、互联网等行业，将固件安全保障工作的重点放在设备固件出厂前，确保固件的安全性、稳定性符合要求和标准，为软件供应链安全保驾护航。

　　强大的风险分析能力

　　安般科技易识固件供应链安全管理系统通过自动化的方式从固件提取信息、软件包&组件检测、CVE/CNNVD漏洞检测、CWE漏洞检测、加密&密码检测、敏感信息检测等多个检测维度，识别和分析物联网设备固件可能存在的风险漏洞，提前发现安全问题，提升物联网设备的安全强度，能够有效规避固件漏洞被恶意利用导致的信息泄露、设备功能故障等风险。

　　安全漏洞

　　安全漏洞在生态中普遍存在：安全漏洞是开源软件供应链中最大的风险之一。根据Sonatype 2021年的报告[1]，29%的流行项目包含了已知的第三方库安全漏洞，足以可见安全漏洞的普遍性。下图是摘自报告中关于不同语言生态安全漏洞的普遍性统计，可以看到项目中安全漏洞占比从15%到39%不等，平均达到了29%，也就是说接近1/3的软件项目都包含了已知安全漏洞

　　恶意软件感染

　　恶意软件感染方式：除了通过供应链软件中的安全漏洞植入恶意代码以外，攻击者也可以通过供应链软件投毒的方式污染下游软件。例如，通过在第三方库发布网站(如Maven、PyPI、NPM等)，使用Typosquatting[6]伪造相似名称的恶意第三方库，诱导开发者下载。由于开发者对上游供应链软件名称不熟悉，很容易下载一个名称相似但完全不同的恶意软件包，进而污染内部的软件依赖。如2019年PyPI上发现的恶意包jeIlyfish包python3-dateutil包，前者与合法包jellyfish仅仅在一个字母上有区别，后者仅仅比dateutil多了python的前缀。

　　以上就是关于供应链风险的相关内容。很多不明因素会导致不可控的供应链风险，因此我们需要对供应链进行分析，检测与规避潜藏的风险。希望以上内容对大家有所帮助。