サプライチェーン攻撃は、ソフトウェア開発における信頼の仮定を悪用している。開発者は、依存するコードが期待通りであり、正しい出所から来ていると信じているが、攻撃者はこの信頼を利用して侵入する。2024年には、PyPIやnpmから数千の悪意のあるパッケージが削除され、高名なプロジェクトへのマルウェア注入が発生した。依存関係のスキャンは既知の脆弱性の検出には有効でも、誤ったパッケージによる認証情報の盗難や、攻撃者がビルドパイプライン自体を毒することは防げない。記事は、ソフトウェアサプライチェーンの脆弱性を引き起こす信頼の仮定を詳細に分析し、最近の攻撃手法を紹介。さらに、これらの仮定に対処するための先進的な防御策について考察する。特に、良く知られたパッケージに悪意のあるコードが追加されるリスクがあることを警告している。