本论文是2025年9月15日由美国国家科学基金会支持的软件供应链安全中心（S3C2）召开的行业供应链安全峰会的总结报告。峰会汇集了来自8家不同领域组织的10位从业者，旨在促进跨行业分享软件供应链安全方面的实践经验与挑战、推动参与者之间的新合作，并识别紧迫问题以指导未来研究方向。讨论围绕六个核心主题展开：脆弱依赖项、组件与容器选择、恶意提交、构建基础设施、文化因素以及大语言模型在供应链中的作用。每个主题下，参与者针对精心设计的讨论问题进行交流，收集见解与痛点。报告总结了每个主题的关键结论，特别指出了哪些议题是延续自前次峰会，哪些是本次首次提出的新想法。附录提供了完整的初始讨论问题列表。该论文适合软件供应链安全研究人员、行业从业者及相关政策制定者阅读。

本文报告了2025年7月9日由美国国家科学基金会（NSF）支持的Secure Software Supply Chain Center（S3C2）举办的政府安全供应链峰会（S3C2 Summit 2025-07）的讨论内容。峰会汇集了来自6个美国政府机构的12名参与者，以及3名S3C2研究人员，旨在促进跨行业经验分享、建立新合作关系，并了解参与者面临的挑战以指导未来研究。讨论覆盖六个主题：软件物料清单（SBOM）的实践与标准化、合规性与政策落地、恶意代码提交的检测与预防、构建基础设施安全（如CI/CD管道）、安全文化培养，以及大语言模型（LLM）在安全中的应用与风险。每个主题均以问题列表和此前两次行业峰会的总结为引导。报告提供了各主题的对话摘要，并附有初始讨论问题清单。尽管未提出新方法或实验，但该峰会反映了美国政府在软件供应链安全方面的优先关注领域，尤其强调SBOM的采用、恶意提交的溯源以及LLM对供应链安全的双重影响（既可辅助检测，也可能被攻击者利用）。

库模糊测试是保障软件供应链安全的重要手段，但大规模采用仍面临成本高昂、环境配置复杂、测试用例生成难以满足复杂API约束，以及难以区分真实库bug与测试驱动导致的崩溃等问题。现有的基于LLM的自动化工具通常作为一次性代码生成器运行，忽略了运行时反馈，限制了代码覆盖深度和报告bug的有效性。本文提出FuzzAgent，一个基于多智能体系统的进化式库模糊测试框架。其核心洞察是：有效的库模糊测试本质上是迭代的——每次测试暴露新的覆盖瓶颈和崩溃，下一次测试应基于这些信号进化，而非从头开始。FuzzAgent由一组专门智能体组成，覆盖模糊测试全生命周期，包括：环境设置、harness生成、运行监控、覆盖分析、崩溃分类等。每个决策都基于具体的运行时证据，通过多轮迭代逐步优化harness套件，以实现更深覆盖和更精确的崩溃分析。在20个真实世界的C/C++库上，FuzzAgent无需人工干预即可完成完整模糊测试流程，达到179,619个分支，分别超越OSS-Fuzz、PromptFuzz、PromeFuzz和OSS-Fuzz-Gen 45.1%、73.2%、92.1%和191.2%。此外，FuzzAgent发现了102个真实库bug，其中78个已被上游维护者确认并修复。该工作展示了多智能体协作与进化学习在自动化库模糊测试中的巨大潜力。