VibeGuardLive feed
APIMCPRSSSkill查询
返回首页查看原文

2025年回顾:供应链安全的演进与未来展望

StepSecurity 如何在 2025 年为超过 10,000 个开源仓库提供安全保障的同时,连续第二年实现 ARR 增长 5 倍

StepSecurity 成功检测到了 2025 年一些最具影响力的供应链攻击,往往在它们被公开之前就已发现。如今,我们每周保护超过 1,300 万次构建,使我们能够真实地了解现代软件的构建方式及其最脆弱之处。

在过去几年中,软件供应链攻击已从理论风险转变为每日现实。到了 2025 年,这一转变已无法被忽视。攻击者以前所未有的速度瞄准 CI/CD 流水线、开源软件包和受信的开发工具。

对 StepSecurity 而言,2025 年是我们核心论断——组织需要在软件供应链中实现实时可见性和执行,而不是在损害发生后才发出警报——在生产环境中被反复验证的一年。我们扩展了业务规模,加速了社区采用,并在关键安全事件发生时做出了响应。

以下是我们的回顾:我们构建了什么,学到了什么,以及 2026 年的发展方向。

持续加速增长的一年

  • ARR 连续第二年增长超过 5 倍
  • 客户数量增长 4 倍,延续了多年来的增长态势
  • 吸引了 Circle、Dexcom、Mercari、UtilityWarehouse 和 Paddle 等客户,众多地区的企业都在依赖 StepSecurity
  • 与 Aquanow、Recidiviz、Neon Database 和 Chainguard 发布了客户案例研究
  • 在拉斯维加斯 Black Hat USA 上发表了关于 Harden Runner 如何检测 tj-actions/changed-files 事件的演讲
  • Harden Runner 社区版采用率翻倍,从 5,000 个公共仓库增长到 10,000 个

这种增长的意义不仅在于绝对数字,更在于其背后的加速。

达到首批 5,000 个使用 Harden Runner 的公共仓库花了将近三年时间。相比之下,我们仅用一年就新增了接下来的 5,000 个仓库,在更短的时间内实现了采用率翻倍。这反映出两方面的情况:对 CI/CD 供应链风险的认识日益增强,以及 StepSecurity 赢得了更多信任——团队从试验阶段走向标准化阶段。

连续年度保持 5 倍 ARR 增长,同时加速社区采用,释放出一个明确的信号:软件供应链安全不再是新兴关注点。它已成为现代开发团队的基础需求。

站在供应链安全的前线

2025 年,StepSecurity 处于几次重大供应链安全事件的核心位置,往往在它们被公开之前就已检测到恶意活动。以下是三大事件:

tj-actions/changed-files 事件

由 StepSecurity Harden Runner 首次检测到,触发原因是受损 action 产生的异常出站网络调用。该事件影响了 GitHub 生态系统中数以千计的仓库。我们的检测和调查方法论在拉斯维加斯 Black Hat USA 上进行了分享。

Shai Hulud 供应链攻击事件

我们是首批检测并发布技术细节的团队之一。我们的研究被 CISA 引用,并被多家媒体报道。我们发布了案例研究,展示了 CNCF 的 Backstage 项目如何通过使用 Harden Runner 在九个工作流任务运行中检测到受损的 npm 软件包。

这些事件再次印证了我们创建 StepSecurity 的初衷:组织需要在其软件供应链中实现实时可见性和执行,而非在损害发生后才发出警报。

Nx (s1ngularity) 事件

2025 年 8 月,在维护者令牌被泄露后,广受使用的 Nx 构建系统的恶意版本被发布到 npm(GHSA-cxm3-wv7p-598c)。恶意负载在安装期间执行,窃取开发者凭据并通过创建名为 s1ngularity-repository 的公开 GitHub 仓库来窃取数据。

这一事件标志着供应链攻击进入了新领域:恶意软件试图滥用本地安装的 AI CLI 工具来加速侦察和数据发现,将攻击面从 CI/CD 扩展到开发者机器本身。

产品演进

我们的产品演进直接源于客户反馈以及响应真实供应链攻击过程中积累的经验教训。您可以在我们的更新日志中查看完整的历史记录。

GitHub Actions 安全

tj-actions 事件暴露了一个根本问题:许多团队依赖第三方 action,但这些 action 可能已被放弃、缺乏适当的许可,或成为攻击载体。作为回应,我们新增了 200 个由 StepSecurity 维护的 action 作为安全的即插即用替代品。我们还引入了工作流运行策略,在执行前阻止不合规的工作流,包括阻止引用受损第三方 action 的运行——在事件发生之前就加以阻止。

为简化大规模部署,我们宣布与 RunsOn 建立合作,使客户能够在 RunsOn 的内置镜像中使用 Harden Runner,并增加了对将 Harden Runner 集成到 GitHub 托管运行器自定义 VM 中的支持。这确保了每个仓库的每个工作流默认都受到保护。

npm 软件包安全

2025 年,我们扩展到了 CI/CD 工作流之外,以应对 npm 依赖中的供应链风险。在 Shai Hulud 攻击期间,我们观察到攻击者在获取维护者账户后几分钟内就发布了恶意软件包版本。现有的安全工具响应速度无法跟上。

我们的 npm 功能是为了对抗这些特定的攻击模式而构建的:

  • npm 冷却检查:在受损软件包最可能被捕获和移除的关键窗口期,阻止使用最近发布的软件包版本。这直接针对攻击者在账户泄露后快速发布的策略。
  • npm 搜索:使组织能够快速识别默认分支和拉取请求中的受损软件包,将检测时间从数天缩短到数分钟。
  • 威胁情报与威胁中心:当新的供应链威胁影响客户环境时,提供实时通知和详细上下文,确保团队了解受到影响的内容以及如何响应。

这些功能共同为客户提供了主动防御能力,并在发生泄露时实现更快的响应。

2026 年的展望

我们在 2026 年的重点是将保护扩展到完整开发生命周期。

保护开发者机器:这是客户请求最多的功能之一。近期攻击表明,入侵单个开发者工作站可以完全绕过 CI/CD 保护,使攻击者直接访问源代码、凭据和部署流水线。这一关键攻击面被忽视太久了。

Harden Runner 支持 Windows 和 macOS:目前,Harden Runner 保护基于 Linux 的工作流。将覆盖范围扩展到 Windows 和 macOS 将实现跨异构 CI/CD 环境的全面保护,满足跨多平台构建的团队的需求。

扩展生态系统覆盖:从 PyPI 开始,扩展到其他软件包生态系统。供应链攻击并不限于 npm——我们看到语言生态系统中的活动不断增加,我们的客户需要无论使用何种技术栈都能获得一致的防护。

供应链攻击正在加速。2026 年,我们的目标是走在这些威胁之前,并帮助我们的客户同样保持领先。

感谢我们的客户和社区信任我们并推动我们构建更好的防御。同时感谢 StepSecurity 团队每天都在关键时刻为用户提供支持。

期待一个更加精彩的 2026 年。

我们正在招聘。​ 随着我们将保护扩展到开发者工作站、多个操作系统和新的软件包生态系统,我们正在壮大实现这一目标的团队。如果您对保护软件供应链充满热情,并希望从事有意义的问题,我们很希望听到您的声音。