دودة سلسلة التوريد هي برمجية خبيثة تنتشر عبر مسارات العمل البرمجية الموثوقة بدلاً من إصابة جهاز واحد فقط. ويمكنها الانتقال عبر مستودعات الحزم، أو حسابات التحكم في المصدر، أو نصوص البناء، أو أتمتة التكامل/النشر المستمر (CI/CD)، أو بيانات الاعتماد المشتركة، مستغلةً الأذونات التي يثق بها المطورون والأنظمة بالفعل.
تكتسب هذه المسألة أهمية لأن رمز وصول واحداً مسروقاً، أو مفتاح API، أو سر توقيع قد يتيح للمهاجم نشر حزم خبيثة، أو تعديل الشفرة المصدرية، أو تشغيل مسارات العمل، أو الوصول إلى بنية السحابة والعناقيد. وللدفاع، تقلل الفرق نطاق الضرر عبر بيانات اعتماد قصيرة الأجل، وفحص الأسرار، وإبطال الرموز، وأدوار IAM بأقل الصلاحيات، والنشر المحمي للحزم، والمراجعة الدقيقة لمسارات البناء والنشر الآلية.



