供应链攻击

正如 ATT&CK forEnterprise 中的进一步描述，供应链攻击是指为了数据或系统攻击，在最终消费者收到产品之前，对产品或产品交付机制进行的操纵。与此相关的是，攻击者还可以识别并利用无意中出现的漏洞。在许多情况下，可能难以确定可利用的功能是由于恶意还是仅仅是无意的错误。

相关的 PRE-ATT&CK 技术包括：
- 识别第三方软件库中的漏洞（Identify vulnerabilities in third-party software libraries) 整合到移动应用程序中的第三方库可能包含恶意行为、隐私入侵行为或可利用的漏洞。攻击者可以故意插入恶意行为或利用无意的漏洞。例如，NowSecure 的 Ryan Welton 指出了第三方广告库 中可利用的远程代码执行漏洞。Grace 等人发现了移动广告库 中安全问题。

• 分发恶意软件开发工具 (Distribute malicious software development
  tools) 正如 XcodeGhost 攻击 所演示的那样，应用程序开发人员可以获得软件开发工具（例如编译器）的修改版本，这些修改版本可以自动将恶意或可利用的代码注入应用程序。

检测

• 应用程序审查技术可以检测到不安全的第三方库。例如，Google 的应用安全改进计划会检测到提交到 Google Play 商店的 Android 应用中具有已知漏洞的第三方库。
• 企业可以检测到恶意软件开发工具，通过将完整性校验软件部署到他们用来开发代码的计算机上以检测未经授权的软件和被更改的软件开发工具。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn