APP供应链安全事故高发，变成业内关心重点。近期，备受关注的阿帕奇（Apache） Log4j2安全漏洞暴发事情与2021年12月出现的SolarWinds事情都是常见的APP供应链安全事故。ApacheLog4j2模块是根据Java语言的开源系统系统日志构架，被普遍用以业务管理系统开发设计。ApacheLog4j2模块安全漏洞将会造成机器设备远程控制可控，从而导致敏感信息内容盗取、机器设备服务断开等严重影响，以其是系统日志记录模块，是重要基本模块，安全漏洞影响区域极大。据调查，在世界上最大代码托管网络平台GitHub上，一共有60644个开源系统发布的321094个软件包存有与ApacheLog4j2有关的安全隐患。SolarWinds企业是监管和监控软件的供应商，用户包含英国全部前10大电信业者、美国军队全部5大部队、俄外交部、国安部、以及总统办公区等。2021年12月SolarWinds遭受供应链攻击并注入木马后门，造成包含英国重要基础设施建设、部队、政府部门在里面的20000多家企业用户全部遭受影响，变成本年度最明显的供应链安全事故。（二）APP供应链安全界定、考验及特性

MITRE企业向美国防部（DoD）明确提出的供应链安全的重要性就是指“从开发设计到将商品或服务从供应商交付给用户所涉及到的机构、工作人员、活动、信息内容和网络资源系统。APP供应链安全隐患是APP在开发设计、交付使用、运用等操作过程中以及体系管理因为存有风险性造成出现的安全隐患。供应链“活动”或“运营”涉及到：将原料、模块和IP转换为商品，交付给最终用户；与供应商、中介人和第三方平台服务提供商开展必不可少的融洽和合作。

APP供应链由过去供应链定义拓展而成。过去的供应链定义就是指商品达到顾客手上以前各相关者的对接或业务的对接，从购买原料进行，做成正中间商品以及最终商品，最终由营销网络把商品送至顾客手上的一种总体的供应链构造。将过去商品的供应链运用于计算机技术，则可以衍化出APP供应链这种定义。业内广泛认为APP供应链指一种根据1级或多级别软件开发、设计阶段编辑软件，并根据APP交付使用方式将APP从APP供应商送到APP用户的系统，是一个由好几个上下游与中下游机构互相连接建立的链网构造，参照vist供应链构架，如下图2所显示。APP供应链安全指APP供应链上软件开发与开发设计的每个环节中来源于自身的编写代码操作过程、软件、机器设备或供应链上下游的代码、模块和服务的安全，以及APP交付使用方式和运用安全的总和。APP供应链可以理解为一种链条，在链条上的每一个环节都将会产生安全隐患，包含软件开发与开发设计的每个环节中来源于所运用的研发软件、机器设备、自身的编写代码操作过程，或供应链上下游的代码、模块和服务所带来的安全隐患,以及在APP交付使用方式及运用过程所存有的安全隐患。