Przejdź do treści
Breachroad
Wróć do bloga
Łańcuch dostaw

Ataki na łańcuch dostaw oprogramowania

Jeden zależny pakiet potrafi skompromitować tysiące firm naraz. Wyjaśniamy, jak działają ataki na łańcuch dostaw i jak ograniczyć ryzyko zależności.

KR
Karol Rapacz
11 czerwca 2026 · 7 min czytania
Ataki na łańcuch dostaw oprogramowania

Nowoczesna aplikacja to w większości cudzy kod: biblioteki, frameworki, obrazy kontenerów, narzędzia w pipelinie CI/CD. To ogromna dźwignia produktywności — i równie ogromna powierzchnia ataku. W ataku na łańcuch dostaw przestępca nie włamuje się do Ciebie bezpośrednio, lecz kompromituje coś, czemu ufasz i co sam zaciągasz.

Dlaczego to takie skuteczne

Zaufanie skaluje się w obie strony. Jeśli atakujący przejmie popularną bibliotekę albo aktualizację oprogramowania, jednym ruchem dociera do wszystkich, którzy ją zainstalują. Głośne przykłady pokazują skalę: incydent SolarWinds rozszedł się przez zatrutą aktualizację, a w 2024 roku wykryto backdoora w narzędziu xz Utils (CVE-2024-3094) — starannie wprowadzonego do kodu open source przez „zaufanego” kontrybutora, o krok od trafienia do dystrybucji Linuksa.

Najczęstsze wektory

  • Typosquatting i złośliwe pakiety w rejestrach npm, PyPI czy RubyGems — nazwa łudząco podobna do popularnej biblioteki.
  • Przejęcie konta maintainera i publikacja złośliwej wersji zaufanego pakietu.
  • Zależności tranzytywne — luka nie w Twojej bibliotece, lecz w jej zależności, o której istnieniu nie wiesz.
  • Kompromitacja pipeline’u CI/CD — wstrzyknięcie kodu na etapie budowania, tak że artefakt wygląda na legalny.

Jak ograniczyć ryzyko

Nie da się zrezygnować z zewnętrznego kodu, ale da się nim zarządzać:

  • Inwentaryzacja zależności (SBOM). Musisz wiedzieć, co faktycznie budujesz — pełna lista komponentów z wersjami to warunek reakcji, gdy wybucha kolejny CVE. Piszemy o tym przy priorytetyzacji podatności.
  • Przypinanie wersji i weryfikacja integralności (lockfile, sumy kontrolne, podpisy). Buduj z zamrożonych, sprawdzonych wersji, nie „zawsze najnowszej”.
  • Skanowanie zależności (SCA) wpięte w pipeline, z alertami o znanych podatnościach.
  • Ograniczenie zaufania w CI/CD — minimalne uprawnienia dla runnerów, izolacja budowania, kontrola kto i co może opublikować.
  • Ostrożność przy nowych pakietach — świeżo utworzone, mało popularne biblioteki traktuj z rezerwą.

Perspektywa obrońcy

Atak na łańcuch dostaw to przypomnienie, że bezpieczeństwo nie kończy się na granicy Twojego kodu. Model „ufamy, bo to popularna biblioteka” jest tak samo zawodny jak „ufamy, bo to znany numer” przy oszustwach telefonicznych. Odpowiedzią jest widoczność (wiedza, co masz), higiena zależności i ograniczanie zaufania tam, gdzie cudzy kod wchodzi do Twojego systemu. Jeśli chcesz sprawdzić, jak wygląda łańcuch dostaw Twojej aplikacji, skontaktuj się z nami.


Źródła i dalsza lektura: CISA — Software Supply Chain, OpenSSF.

Udostępnij artykuł

Usługi Umów konsultację