供应链安全近年来因Solar Winds攻击和Log4j2漏洞事件而受到广泛关注。另一方面，企业使用开源软件和组件越来越多，其中涉及到的不安全来源难以研判，从而造成软件供应链风险。

在软件供应链环节中，可能来自于第三方组件引入导致的源码污染、预留后门等情况，以及基于公开软件源导致的潜在升级劫持、企业内部开发工具污染等问题。

企业可以通过审核其供应商使用的安全措施即SBOM(软件物料清单)，以确保端到端的供应链安全。SBOM中包含数据字段、自动化支持、实践和流程。应为SBOM使用者提供其所需的信息，以管理漏洞、清点软件组件，并监管许可证合规性。