Компрометация цепочки поставок

Злоумышленники могут манипулировать продуктами или механизмами их доставки до получения конечным потребителем с целью компрометации данных или систем. Компрометация цепочки поставок может произойти на любом её этапе, в том числе: * Манипулирование инструментами разработки * Манипулирование средой разработки * Манипулирование репозиториями исходного кода (публичными или частными) * Манипулирование исходным кодом в зависимостях с открытым исходным кодом * Манипулирование механизмами обновления/распространения программного обеспечения * Скомпрометированные/заражённые образы систем * Замена легитимного программного обеспечения модифицированными версиями * Продажа модифицированных/поддельных продуктов легитимным дистрибьюторам * Перехват на этапе доставки Хотя компрометация цепочки поставок может затронуть любой аппаратный или программный компонент, злоумышленники, стремящиеся к выполнению кода, нередко сосредотачиваются на внедрении вредоносных дополнений в легитимное программное обеспечение по каналам его распространения или обновления. Целью может быть как конкретный набор жертв, так и широкий круг потребителей, при этом дальнейшие тактики применяются лишь против отдельных жертв. Широко используемые проекты с открытым исходным кодом, применяемые в качестве зависимостей во многих приложениях, также могут становиться мишенью для внедрения вредоносного кода к пользователям этой зависимости — в особенности с учётом широкого распространения сторонних рекламных библиотек.