维度网讯，韩国科学技术信息通信部与国家情报院联合发布“迎接AI日常化时代的软件供应链安全分阶段实施方案（路线图）”，旨在从开发到售后管理全阶段强化软件供应链网络弹性，以应对人工智能时代日益复杂的网络威胁。

该路线图于24日在“2026年供应链安全研讨会”上正式公布。政府认为，高性能AI的普及导致网络攻击的速度与规模急剧增长，传统安全体系难以阻止向多个机构扩散的连锁性软件供应链损害。为此，政府将推广基于“软件物料清单（SBOM）”的供应链安全管理模型，利用漏洞报告制度（Bug Bounty）和报告-处理-披露（CVD/VDP）制度扩大威胁检测路径，并构建基于AI的供应链防御体系以最大限度减少事故损害。

政府还将组建跨部门的软件供应链安全协商体，运营供应链安全论坛以支持民间自主活动。同时，制定面向公共领域供货产品的安全威胁验证方案，并推进扩大安全合规性制度的适用产品范围。

针对安全条件薄弱的中小企业，科学技术信息通信部于26日启动“中小企业安全基础确立集中支援项目”。该项目将从资产识别到实战模拟黑客攻击提供全方位技术支持，主要内容包括：根据企业预算提供基于网络的安全投资指南；检查外部黑客攻击面；诊断开源软件并帮助实施安全编码的软件供应链安全体系诊断等。

韩国互联网振兴院（KISA）将向曾遭受入侵事故或检测到威胁的地区中小企业中，优先为100家企业提供信息安全咨询与IT安全包，为400家企业优先提供安全即服务（SECaaS）包。从今年7月起，计划向所有中小企业开放基础设施，使其能够利用前沿AI模型免费检查自身产品安全漏洞。

美国网络安全和基础设施安全局（CISA）发布警告称，主要用于运营技术（OT）环境的Lantronix EDS5000系列设备存在零日漏洞利用案例。该漏洞编号为CVE-2025-67038（CVSS评分9.8），是认证失败时HTTP RPC模块日志记录过程中输入值验证缺失导致的代码注入缺陷。攻击者可利用此漏洞感染恶意代码并以最高权限（Root）执行任意操作系统命令。

CISA于23日（当地时间）通过“已知被利用漏洞（KEV）”公告披露了这一信息。安全公司Forescout的分析显示，名为“Chaya_006”的威胁组织在漏洞公开前约两周（4月5日）起，针对特定蜜罐发动了零日攻击。攻击者除利用该设备漏洞外，还对暴露于互联网的开源路由器固件Web界面环境并发进行了超过4100次暴力破解攻击。

美国联邦机构通常需在3周内修补列入KEV的安全漏洞。专家建议，为防止工业控制环境受损，应更改默认凭据、限制管理员接口访问并进行网络隔离。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com