今天要介紹的是 A3:軟體供應鏈失效 (Software Supply Chain Failures)。這是 2025 年最讓人頭痛的 「信任危機」,因為你可能根本沒做錯事,但卻一樣死得很慘。
以下,讓 Gemini 一樣以「開餐廳」來說明:
第 3 名:軟體供應鏈失效
1. 上游被駭(Compromised Dependencies)
- 情境: 你的餐廳為了省事,跟一家信譽良好的「阿婆醬油廠」進貨。
- 真相: 阿婆昨天被綁架了。現在醬油廠是駭客在經營,他們在每一罐醬油裡都加了強力瀉藥,然後照常出貨給你。
- 結果: 你把醬油加進招牌菜,客人吃了狂拉肚子。警察來抓你,你還一臉無辜:「可是阿婆醬油很有名耶!」
- 一句話解釋: 你開發軟體時引用的「第三方套件」(Library/Package),在源頭就被駭客植入了惡意程式。
2. 冒牌送貨員(Dependency Confusion / Typosquatting)
- 情境: 廚師叫貨,要買一包 「由你全家便利商店 (FamilyMart)」 出品的麵包。
- 這條漏洞的送貨員: 穿著很像的制服,拿著一包 「由你全家便利商店 (FamiIyMart)」 的麵包(注意到了嗎?那是大寫的 i,不是 l)。
- 廚師反應: 眼殘沒看清楚,簽收、拆開、給客人吃。結果那是過期發霉的麵包。
- 一句話解釋: 駭客上傳了一個跟知名套件名字「長得很像」的惡意套件(例如把 requests 改成 requesrs),賭你會打錯字或沒看清楚就下載。
總結
這條漏洞告訴我們:
最大的敵人往往不是來「攻打」你,而是來「送貨」給你的。
這就是為什麼現在甲方(政府/大企業)都要你交出一份 SBOM(軟體身分證/成分表),因為他們怕你煮的菜裡,藏著別人的毒。
同時,這也是一個排名拔高的風險,在舊版(2017 或 2021)的榜單裡,它其實一直躲在角落,叫做 「使用易受攻擊的組件」(也就是以前的 A6)。
為什麼它變重要了?
因為這幾年發生了幾起震驚世界的 「核彈級災難」,大家發現:
「駭客發現攻打『餐廳大門』太累了,他們現在改去攻打『自來水廠』。」
只要在自來水(基礎軟體套件)裡下毒,全世界有用自來水的餐廳(成千上萬家公司)就會 「自動」 中毒。
所以,這是一個 「舊瓶裝新酒」,而且酒裡被下了劇毒的新型態危機。
