本文探讨软件供应链安全的新范式，强调从“源码审计”转向“能力审计”。传统源码审计难以应对复杂攻击，如BoltDB投毒事件。Google的Capslock工具可分析构建产物，识别潜在安全风险，帮助开发者关注依赖包的行为边界，从而提升安全性。