在 2020 年 SolarWinds 网络间谍活动之后，一系列进一步的软件供应链漏洞凸显了确保软件监管链安全的必要性。在这场间谍活动中，俄罗斯黑客渗透到一个广泛使用的 IT 管理平台，并将受污染的升级程序悄悄带入其中。由于开源项目从根本上来说是分散的，而且经常是临时的活动，因此在这种背景下，这个问题尤其紧迫。GitHub 著名的 npm 注册中心广泛使用的 JavaScript 软件包遭到一系列