本论文是2025年9月15日由美国国家科学基金会支持的软件供应链安全中心（S3C2）召开的行业供应链安全峰会的总结报告。峰会汇集了来自8家不同领域组织的10位从业者，旨在促进跨行业分享软件供应链安全方面的实践经验与挑战、推动参与者之间的新合作，并识别紧迫问题以指导未来研究方向。讨论围绕六个核心主题展开：脆弱依赖项、组件与容器选择、恶意提交、构建基础设施、文化因素以及大语言模型在供应链中的作用。每个主题下，参与者针对精心设计的讨论问题进行交流，收集见解与痛点。报告总结了每个主题的关键结论，特别指出了哪些议题是延续自前次峰会，哪些是本次首次提出的新想法。附录提供了完整的初始讨论问题列表。该论文适合软件供应链安全研究人员、行业从业者及相关政策制定者阅读。

本文报告了2025年7月9日由美国国家科学基金会（NSF）支持的Secure Software Supply Chain Center（S3C2）举办的政府安全供应链峰会（S3C2 Summit 2025-07）的讨论内容。峰会汇集了来自6个美国政府机构的12名参与者，以及3名S3C2研究人员，旨在促进跨行业经验分享、建立新合作关系，并了解参与者面临的挑战以指导未来研究。讨论覆盖六个主题：软件物料清单（SBOM）的实践与标准化、合规性与政策落地、恶意代码提交的检测与预防、构建基础设施安全（如CI/CD管道）、安全文化培养，以及大语言模型（LLM）在安全中的应用与风险。每个主题均以问题列表和此前两次行业峰会的总结为引导。报告提供了各主题的对话摘要，并附有初始讨论问题清单。尽管未提出新方法或实验，但该峰会反映了美国政府在软件供应链安全方面的优先关注领域，尤其强调SBOM的采用、恶意提交的溯源以及LLM对供应链安全的双重影响（既可辅助检测，也可能被攻击者利用）。

这篇论文系统性地研究了开源软件供应链中贡献归属的脆弱性问题。作者指出，关键开源项目构成了许多大型软件系统的基石，但验证提交作者身份的真实性既关键又困难。Git 用户可以自由配置作者名称和电子邮件地址，而 GitHub 等平台使用这些信息来生成指向用户账户的个人资料链接。这为恶意行为者提供了伪造贡献历史以提升账户可信度的机会。论文设计了三个攻击场景：通过伪造 Git 提交作者信息劫持贡献、利用 GitHub 对电子邮件地址的处理进行身份冒充、以及结合两者进行更隐蔽的攻击。研究者对 GitHub 上 50,328 个关键开源项目进行了大规模测量，发现 85.9% 的项目可能被滥用。他们识别出 573,043 个可被恶意行为者声称的电子邮件地址，从而劫持历史贡献。作为对比，研究了提交签名这一防御措施，发现绝大多数用户（95.4%）从未签署过提交，大部分项目（72.1%）没有签名提交；只有 2.0% 的用户和 0.2% 的项目对所有提交进行了签名。签名与否与项目编程语言、主题或其他安全措施无关联。此外，论文分析了在线安全建议文档，发现大多数文档意识到简单的 Git 提交伪造技术，但对 GitHub 处理电子邮件地址的问题缺乏认识。研究结果表明，当前贡献归属机制存在严重安全隐患，需要改进平台安全措施和提高社区意识。