在飞速发展的计算机与互联网时代,软件成为人们生活、工作中不可或缺的一部分。软件与用户息息相关,软件安全也与用户信息安全有着密切联系。软件安全是安全研究领域中一项重要的研究内容。传统针对软件的攻击通常是以软件自身为攻击目标,利用软件存在的安全漏洞进行攻击。近年来,一种新型的针对软件的攻击方式逐渐出现在大众的视野并呈现快速上涨的趋势,称为软件供应链污染。在这种攻击方式中,攻击者将关注焦点从软件自身漏洞转移到软件供应链,发掘软件供应链中攻击面,以此为切入点实现软件污染,致使用户下载或使用了非预期的软件,最后非预期软件还能引发诸如信息窃取、DDoS等后续攻击。研究软件供应链污染机理与防御技术,能够从软件供应链角度研究软件安全问题,保护软件安全,从而保护广大用户的信息安全。本文首先介绍软件供应链方面的研究背景和研究现状,指出当前软件供应链安全问题亟待解决。其次,本文从软件供应污染定义、威胁模型、分类与关键技术等方面对软件供应链污染的机理进行研究。基于已有研究基础(软件供应链定义、软件供应链污染案例等),提出软件供应链污染定义;进行威胁识别与威胁建模,得出软件供应链污染威胁模型;通过多角度对软件供应链污染进行分类;从案例中分析总结出软件供应链污染关键技术与攻击模式,通过概念验证实验证明可用性与普适性,进而揭示当前软件供应链存在大量隐患。最后,本文对软件供应链污染进行防御研究,包括通用策略与针对性算法设计两部分。在通用策略部分,对参与软件供应链的不同角色提出对应防御方案。在针对性算法设计部分,以WordPress主题污染为实际的落脚点,针对性研究案例的特殊规律与现象,设计基于相似性分析的恶意代码检测算法,并通过实验证明算法的有效性与优越性。