“可信访问网络安全”项目旨在通过信任和验证，提供先进的网络安全能力，已获得1000万美元的API信用，支持多个组织提升软件供应链安全。参与者包括知名企业和研究团队，目标是增强数字基础设施的安全性，推动防御研究的进展。

2026年3月，GitHub经历了四起事件，导致服务性能下降。同时，GitHub Universe活动回归，鼓励用户参与。文章还介绍了GitHub Actions的安全路线图，强调安全默认设置、政策控制和CI/CD可观察性，以增强软件供应链的安全性。

现代软件供应链安全性面临严重问题，攻击者利用CI/CD系统的脆弱性传播恶意软件，盗取凭证发布恶意工具，影响数万开发者。解决方案包括消除静态凭证、实施短期身份验证和加强代码审查，必须将CI/CD系统视为生产系统以防止供应链攻击的扩大。

软件供应链攻击日益严重，GitHub Actions计划在2026年加强安全，重点在依赖锁定、政策驱动执行和CI/CD监控。新功能将确保工作流可审计、凭证安全和执行受控，从而减少攻击面，提升安全性。

LiteLLM 投毒事件揭示了软件供应链的安全隐患，攻击者通过恶意代码注入影响开发者工具链。事件分析表明，包管理哲学正在向“验证与分布式协同”演进。Rust 和 Go 的包管理器在应对此类威胁时展现出不同的防御机制，Rust 依赖哈希校验，而 Go 则禁止执行外部代码。未来，软件供应链安全需结合透明审计和细粒度权限控制，以提升整体安全性。

Minimus推出了一项新计划，旨在帮助开源项目维护者增强软件供应链的安全性。符合条件的项目可以免费访问公司的安全容器镜像和威胁情报工具，从而降低攻击面，提高安全性。

Go语言的包管理工具sumdb通过透明日志和瓦片化算法，确保模块哈希的可信性，防止恶意代码合法化，从而增强软件供应链的安全性。

开源安全大会将于2026年与KubeCon + CloudNativeCon欧洲会议共同举行，旨在推动开源软件和云原生安全的创新与合作。会议将聚焦安全政策、流程和技术的最新进展，涵盖AI影响和软件供应链安全等主题，促进社区经验共享，解决安全挑战。

现代软件依赖开源项目，确保安全性至关重要。GitHub安全开源基金旨在保护基础设施，支持开发者进行安全工作，降低软件供应链风险。通过资金和培训，67个项目在安全性上取得显著进展，增强了开发者信心和软件可靠性。

Chainguard成立了以客户为中心的Chainguard OS FUD委员会，旨在根据客户需求推动操作系统的发展。该委员会将由各行业客户组成，负责技术决策、路线图对齐和战略反馈，以确保Chainguard OS成为现代软件供应链中最可信、安全的基础。

软件供应链面临信任问题，行业对硬化容器的关注增加，但硬化容器无法解决根本问题。应从源头构建软件，以确保供应链安全。

BellSoft推出的“强化镜像”容器安全解决方案旨在解决企业软件供应链的脆弱性。该方案结合Java运行时优化、操作系统加固和主动CVE修复，声称可减少95%的已知漏洞，并降低30%的资源消耗。强化镜像基于Alpaquita Linux，去除了包管理器和非必要组件，以防止恶意软件入侵，并提供详细的软件材料清单（SBOM）以支持审计和合规。

2025年，npm包“is”遭黑客攻击，注入恶意代码，警示开源生态。传统容器因包含多余组件而易受攻击，而无壳容器通过去除不必要工具，降低攻击面，提高安全性。采用无壳策略可显著减少安全事件，提升修复速度和合规性，确保软件供应链安全。

OpenSSF联合多个开源软件基金会发布声明，呼吁企业根据使用规模为开源基础设施付费，强调长期免费使用不可持续。当前开源基础设施面临资金压力，需改善资金支持模式，以确保软件供应链的稳定与安全。

开源软件是现代软件行业的基础，但安全性面临威胁。近期，npm注册表遭恶意攻击，维护者账户被入侵。GitHub已移除受影响包，并加强认证和发布安全，未来将实施双因素认证和短期令牌，以提升npm生态系统安全。开源社区需共同努力，确保软件供应链安全。