软件工程是国家信息化建设的重要基础学科，2000年左右国内软件开发和应用需求大规模爆发。随着软件生态的不断演进，各种各样的软件制品随应用覆盖到千行百业，成为国家基础设施和数字经济建设的重要基石。同时，软件开发语言、方法、流程多样化，开发者分工细化，供应链条变长，软件成分变得复杂。特别是在微服务架构、AI开发出现后，软件开发者除专业开发人员外，还包括了业务技术人员和分布式交付团队。软件供需流转过程中裹挟了大量的第三方不可控因素，软件供应链暴露面持续扩大，软件成分不可见、供应过程不透明等问题给国家数字经济建设埋入了严重的安全隐患。

随着漏洞挖掘、攻击手段的不断进步，漏洞利用的门槛被降低，进一步促进了软件供应链攻击盛行，软件供应链原本的脆弱性变得更加凸显。在供应链上向软件投毒、植入木马能进一步帮助攻击者实现定向威胁、信息窃取、勒索等更加精准攻击的目的。早期的SolarWinds攻击、近期的黎巴嫩寻呼机爆炸事件都在不断证明，利用软件供应链攻击实施勒索正在成为个人黑客甚至国家目标达成的新的有效手段。Gartner预测，到2025年全球45%的企业机构将遭遇软件供应链攻击，这一数据相比2021年增加了3倍。

2020年SolarWinds供应链攻击事件后，软件供应链安全就被诸多国家列入国家级网络安全战略，并陆续发布了软件供应链安全相关的审计计划和安全指南。在“去风险不脱钩”的大国政策下，软件供应链安全也成为了我国的国家安全战略。对企业CSO来说，需要为软件供应链安全能力构建提供建设建议，同时在软件供应链活动中承担更多的安全职责。

安全牛基于应用安全领域的研究积累和厂商支持编写《软件供应链安全能力构建指南（2024版）》。报告侧重于软件供应链安全能力建设的技术、工具和构建方法，并希望通过有效的技术和工具帮助企业CSO应对软件供应活动中的安全管理要求。