ការវាយប្រហារលើខ្សែសង្វាក់ផ្គត់ផ្គង់សូហ្វវែរ (Software supply chain attacks) បានក្លាយជាការគំរាមកំហែងដ៏គ្រោះថ្នាក់បំផុតមួយនៅក្នុងវិស្វកម្មសូហ្វវែរទំនើប (modern software engineering) ពីព្រោះពួកវាមិនកំណត់គោលដៅលើកម្មវិធី (applications) ដោយផ្ទាល់នោះទេ ប៉ុន្តែវាវាយលុកលើអ្វីៗគ្រប់យ៉ាងដែលកម្មវិធីរបស់អ្នកពឹងផ្អែកលើ។ ជំនួសឱ្យការលួចចូលទៅក្នុងម៉ាស៊ីនមេ(server) ឬទាញយកផលប្រយោជន៍ពី API របស់អ្នក Hacker បានចូលទៅបង្កការខូចខាតដល់ components ដូចជា open-source packages, ប្រព័ន្ធ CI/CD, Developer tools, build pipelines។ នៅពេលដែល software dependency ត្រូវបានគេជំនួសដោយ Code មិនល្អ កូដដែលមានបំណងអាក្រក់នឹងរីករាលដាលយ៉ាងស្ងៀមស្ងាត់ទៅកាន់រាល់ Project ទាំងអស់ដែលប្រើប្រាស់វា។
ឧទាហរណ៍ថ្មីៗដែលបង្ហាញពីភាពធ្ងន់ធ្ងរនៃបញ្ហានេះ គឺការលួចចូល repository ផ្ទៃក្នុងរបស់ GitHub ក្នុងឆ្នាំ ២០២៦។ GitHub បានបញ្ជាក់ថា Hacker អាចចូលទៅកាន់ internal repositories ប្រហែល 3800 បន្ទាប់ពីការវាយលុកលើ Tools របស់បុគ្គលិកតាមរយៈ VS Code extension ដែលគេគ្រប់គ្រងបាន។ ការវាយប្រហារនេះត្រូវបានគេរាយការណ៍ថាបានអនុញ្ញាតឱ្យមានការលួចយកទិន្នន័យ (data exfiltration) នៃ source code ផ្ទៃក្នុង និងព័ត៌មានប្រតិបត្តិការសំខាន់ៗ ខណៈដែល GitHub បានថ្លែងថា repositories របស់អតិថិជនមិនត្រូវបានប៉ះពាល់ ហើយហេតុការណ៍នេះត្រូវបានគ្រប់គ្រងបាន។
ហេតុការណ៍នេះមានសារៈសំខាន់ជាពិសេស ព្រោះវាបង្ហាញពីការផ្លាស់ប្តូរយុទ្ធសាស្ត្ររបស់ Hacker ៖ ជំនួសឱ្យការកំណត់គោលដៅលើហេដ្ឋារចនាសម្ព័ន្ធ (infrastructure) ដោយផ្ទាល់ ឥឡូវនេះពួកគេកំពុងទាញយកផលប្រយោជន៍ពី environment របស់ developer ដែលមើលទៅហាក់ដូចជាគ្មានគ្រោះថ្នាក់ ដែលត្រូវបានដំឡើងនៅក្នុង dev tools ដែលគួរឱ្យទុកចិត្ត បានក្លាយជាច្រកចូល។ នៅពេលចូលទៅខាងក្នុងហើយ Hacker អាចចូលទៅកាន់ប្រព័ន្ធផ្ទៃក្នុង និងដកយកទិន្នន័យដែលមានតម្លៃខ្ពស់ដូចជា source code និងព័ត៌មានសម្ងាត់ (credentials)។ នេះឆ្លុះបញ្ចាំងពីនិន្នាការកាន់តែទូលំទូលាយនៅក្នុងការវាយប្រហារលើខ្សែសង្វាក់ផ្គត់ផ្គង់ ដែល "ទំនុកចិត្ត" ត្រូវបានប្រើប្រាស់ជាអាវុធនៅកម្រិតអ្នកអភិវឌ្ឍន៍។
ទន្ទឹមនឹងនេះដែរ ប្រព័ន្ធអេកូឡូស៊ីទាំងមូលបានឃើញការកើនឡើងនៃការវាយប្រហារដែលពាក់ព័ន្ធនៅទូទាំង package registries និងប្រព័ន្ធ CI/CD។ ឧទាហរណ៍ យុទ្ធនាការថ្មីៗដែលប៉ះពាល់ដល់ npm packages និង GitHub Actions បានបង្ហាញពីរបៀបដែលអ្នកវាយប្រហារបញ្ចូលកូដអាក្រក់ទៅក្នុង Libraries ដែលគេប្រើប្រាស់យ៉ាងទូលំទូលាយ ឬក្នុងលំហូរការងារស្វ័យប្រវត្តិកម្ម (automation workflows )។ ការវាយប្រហារមួយចំនួនមានពាក់ព័ន្ធនឹងមេរោគ (malware) លួចព័ត៌មានសម្ងាត់ដែលលាក់ខ្លួននៅក្នុងការអាប់ដេត dependency ខណៈដែលការវាយប្រហារផ្សេងទៀតបានរៀបចំ build pipelines ដើម្បីលួចយកព័ត៌មានសម្ងាត់ (secrets) ឬបោះពុម្ពផ្សាយកំណែសូហ្វវែរដែលត្រូវបានសម្របសម្រួលក្នុងទ្រង់ទ្រាយធំ។
អ្វីដែលធ្វើឱ្យការវាយប្រហារលើខ្សែសង្វាក់ផ្គត់ផ្គង់មានគ្រោះថ្នាក់ជាពិសេស គឺផលប៉ះពាល់នៃការរីករាលដាលរបស់វា (amplification effect )។ គណនីអ្នកថែទាំ (maintainer account), extension, ឬ build script តែមួយដែលត្រូវបានសម្របសម្រួល អាចរីករាលដាលទៅកាន់គម្រោងរាប់ពាន់ដែលប្រើប្រាស់វាបន្ត។ ខុសពីភាពងាយរងគ្រោះបែបប្រពៃណី ការវាយប្រហារទាំងនេះច្រើនតែដំណើរការជាមួយនឹងសិទ្ធិស្របច្បាប់ (legitimate permissions) នៅខាងក្នុងប្រព័ន្ធដែលគួរឱ្យទុកចិត្ត ដែលមានន័យថាការរកឃើញគឺពិបាកជាង ហើយការខូចខាតរីករាលដាលលឿនជាង។
ការកាត់បន្ថយហានិភ័យនេះ ទាមទារយុទ្ធសាស្ត្រការពារជាស្រទាប់ (layered defense strategy )។ អ្នកអភិវឌ្ឍន៍ និងស្ថាប័ននានាគួរតែកំណត់ version ឱ្យបានច្បាស់លាស់សម្រាប់ dependencies (pin dependencies), ប្រើប្រាស់ lockfiles ឱ្យបានជាប់លាប់ និងជៀសវាងការអាប់ដេតដែលមិនមានការត្រួតពិនិត្យត្រឹមត្រូវនៅក្នុង production pipelines។ ប្រព័ន្ធ CI/CD ត្រូវតែត្រូវបានចាត់ទុកថាជាហេដ្ឋារចនាសម្ព័ន្ធដែលមានតម្លៃខ្ពស់ ជាមួយនឹងការគ្រប់គ្រងការចូលប្រើប្រាស់យ៉ាងតឹងរ៉ឹង ការកំណត់សិទ្ធិឱ្យនៅកម្រិតអប្បបរមា និងការញែកព័ត៌មានសម្ងាត់ (secret isolation) ឱ្យដាច់ដោយឡែក។ ឧបករណ៍ដូចជា dependency scanners និងការបង្កើត Software Bill of Materials (SBOM) ក៏ជួយឱ្យក្រុមការងារយល់ច្បាស់អំពីអ្វីដែលកំពុងដំណើរការនៅក្នុងកម្មវិធីរបស់ពួកគេ។ ជាចុងក្រោយ បរិយាកាសរបស់អ្នកអភិវឌ្ឍន៍ផ្ទាល់—រួមមាន extensions, IDE plugins, និងឧបករណ៍ក្នុងម៉ាស៊ីនផ្ទាល់ខ្លួន (local tooling)—ត្រូវតែត្រូវបានចាត់ទុកថាជាផ្នែកមួយនៃផ្ទៃនៃការវាយប្រហារ (attack surface) មិនមែនគ្រាន់តែជាឧបករណ៍សម្រាប់ភាពងាយស្រួលនោះទេ។
សរុបមក ការលួចចូល GitHub និងហេតុការណ៍ស្រដៀងគ្នានេះ បង្ហាញពីតថភាពជាក់ស្តែងមួយ៖ សន្តិសុខសូហ្វវែរទំនើប លែងគ្រាន់តែជាការសរសេរកូដឱ្យមានសុវត្ថិភាពទៀតហើយ។ វាគឺជាការគ្រប់គ្រង "ទំនុកចិត្ត" នៅទូទាំងប្រព័ន្ធអេកូឡូស៊ីទាំងមូល។ រាល់ dependency, plugin, និងជំហានស្វ័យប្រវត្តិកម្មនីមួយៗ ក្លាយជាផ្នែកនៃព្រំដែនសន្តិសុខ (security boundary) ហើយអ្នកវាយប្រហារកាន់តែបង្កើនគោលដៅក្នុងការបំបែក "តំណភ្ជាប់ដែលខ្សោយបំផុត" នៅក្នុងខ្សែសង្វាក់នោះ ជាជាងវាយប្រហារលើកម្មវិធីដោយផ្ទាល់។