亚历克西斯·威尔斯是GitHub的首席信息安全官，负责保护平台和开源社区，支持全球超过1.5亿开发者安全构建软件。她在国防部和网络安全局有20年经验，致力于公私合作解决安全挑战。GitHub推出了免费的代码安全风险评估工具，帮助用户快速识别代码漏洞，并提供开源供应链安全的预防措施。

1月27日，国家工业信息安全发展研究中心在北京召开高端工业软件生态创新发展会议，启动了「供应链安全号」，Gitee成为首批成员，推动工业软件安全体系建设。Gitee提供工具和平台支持开源组件服务，确保软件供应链的安全与合规。自2022年启动的「高端工业软件创新发展领航计划」已联合200余家单位，推动生态协同。

本期Python潮流周刊分享了12篇文章和开源项目，涵盖安全审计、供应链安全、Django内存修复及Python面向对象编程等主题，特别介绍了利用大模型寻找Python C扩展漏洞的研究，旨在提升技术水平和职业发展。

npm 推出了 Trusted Publishing 机制，基于 OpenID Connect，允许通过 CI/CD 工作流安全发布，降低长期 token 泄露风险。每次发布使用短期凭证，建议开源项目逐步迁移至此机制，以增强供应链安全。

Kyverno 1.17发布了稳定的CEL政策引擎，增强了多租户支持和供应链安全，改进了用户体验和文档结构，新增功能库支持复杂逻辑，政策类型升级至v1以提高性能，未来将专注于可持续性和社区建设。

.NET 虚拟单体存储库（VMR）是一种创新架构，旨在克服传统多仓库模式的缺陷。它通过虚拟化技术结合单体存储库的优势，提高了构建一致性和供应链安全性，支持跨平台开发，满足开源社区的需求，促进了.NET生态系统的高效协作与演进。

OpenCost项目在2025年取得显著进展，发布了11个版本，新增无Prometheus配置和实时成本查询等功能。项目注重社区指导，培养了多位优秀实习生，并积极参与KubeCon活动。未来将专注于数据模型改进、AI使用跟踪和供应链安全。

量子计算对传统公钥密码（如RSA、ECC）构成威胁，促使后量子密码学（PQC）的发展。PQC基于难解的数学问题，确保在量子计算机面前的安全性。NIST标准化过程中，格基密码学（如Kyber、Dilithium）成为主流，但面临性能和侧信道攻击的挑战。各国计划在2035年前完成PQC的迁移，强调密码的敏捷性和供应链安全。

Emma Yuan Fang讨论了零信任原则在供应链安全中的应用，强调识别和减轻软件供应链攻击风险，如后门和依赖混淆。她建议在CI/CD管道中实施安全控制，确保代码和工件的完整性，并使用数字签名和版本锁定管理依赖关系。最后，她提供了开发者检查清单以增强供应链安全。

Chainguard推出JavaScript库，重建数千个JavaScript依赖，以消除恶意软件风险。这一举措旨在应对近期的安全事件，帮助开发者避免因不安全依赖而遭受攻击。Chainguard直接从GitHub获取源代码，确保安全性，满足企业对供应链安全的需求。

自2020年以来，NuGet包下载量超过48亿，显示出.NET生态成功从Windows转型为开源跨平台。增长得益于技术突破、云原生适配和社区创新。未来需关注供应链安全和多端体验一致性。

软件来源在确保供应链安全和遵循新标准（如SLSA）方面愈发重要。HashiCorp的HCP Packer服务通过捕获构建元数据和SBOMs支持SLSA Level 1合规。多个开源项目（如Sigstore和in-toto）推动软件来源的自动化验证。尽管面临挑战，软件来源正逐渐成为标准功能，提升工程团队的调试和审计效率。

CNCF安全技术咨询组发布的供应链安全最佳实践指南在2025年变得更加重要。2023年，供应链漏洞造成超过450亿美元损失，预计到2026年将超过800亿美元。8月25日，John Kjell将在阿姆斯特丹的开放源代码峰会上介绍更新的指南，强调SBOM和认证的重要性，以及公共部门软件安全的挑战与解决方案。

2025年，OT、ICS与IoT的融合提升了制造和能源行业的效率，但也加剧了网络安全威胁。Shieldworkz专注于为OT环境提供主动网络安全策略，以应对复杂威胁。报告分析了OT网络安全趋势、最新威胁和合规要求，强调了AI、零信任架构和供应链安全的重要性。