迄今为止，许多备受瞩目的软件供应链攻击(包括SolarWinds攻击和ShadowPad攻击)都归因于与政府有可疑联系的APT组织。根据大西洋理事会(Atlantic Council)对过去10年中披露的115种软件供应链攻击和漏洞的分析结果发现，其中至少27种是民族国家赞助的。但是，实施软件供应链攻击所需的技能和资源并不仅限于传统的网络间谍组织。

多年来，各种攻击都涉及后门开源组件或后门版本的合法应用程序，这些后门版本由受感染的下载服务器提供服务，而这些服务器很可能是网络犯罪分子出于经济动机发起的。甚至还存在一个与勒索软件有关的案例。

在过去几年中，许多勒索软件团伙采用了过去仅在APT组织中才能看到的复杂技术，包括内存中进程注入，深度侦察，使用系统管理工具进行的手动黑客入侵和横向移动，无文件恶意软件等等。一些勒索软件团伙还针对管理服务提供商(managed service providers，简称“MSP”)进行了攻击，这些攻击在概念上与软件供应链攻击相似：针对可以凭借业务关系对其他公司进行特权访问的组织。

如今，越来越多的网络雇佣军团体在地下网络犯罪市场向政府和私人实体出售黑客服务。随着越来越多的组织开始采用这种攻击媒介，所有组织(无论大小或是从事的行业)都可能通过软件供应链入侵而成为APT式攻击的受害者。

Webb表示，我们的责任将是对供应链施加压力：您必须加强自己的产品和服务。供应商们应该清楚地知道，必须测试和审计自己的代码，不是一年一次，而可能是每月一次的频率或是在进行任何部署之前。业务领导者需要敦促IT领导者，以确保他们只与信誉良好的供应商，以及已经采取下一步措施来保护组织正在使用的代码的人员进行合作。

凤凰城大学信息安全副总裁Larry Schwarberg表示，对于许多组织而言，朝这个方向迈出的第一步将是确认其所有软件和SaaS供应商，并为新应用程序和服务明确定义启用流程。许多组织存在“影子IT”问题，即不同的团队在未经安全团队审查和批准的情况下自行购买和部署硬件及软件资产。这无疑加剧了锁定应用程序以及强制执行最小特权访问的难度。

Schwarberg补充道，随着随着合同和订阅续订的纷涌而至，组织应向其软件和服务提供商询问有关渗透测试，以及如何测试其软件并限制潜在影响等更深层次的问题

从供应链安全的角度对软件供应商进行全面评估并不容易，并且需要许多公司可能并不具备的资源和专业知识，但是，审计组织可能会利用此事件作为催化剂，并围绕此事件建立更多的功能。