在数字化浪潮席卷全球的今天，软件供应链已成为支撑社会运转的"隐形动脉"。然而随着SolarWinds等重大攻击事件的爆发，软件供应链攻击(Software Supply Chain Attack, SSCA)因其隐蔽性强、破坏面广的特点，正成为网络安全领域的"灰犀牛"。传统防御手段面临三大困境：攻击技术迭代迅速导致防御滞后、供应链环节复杂造成攻击面无限扩展、现有评估方法多停留在定性分析层面。这种"看不见、测不准、防不住"的现状，使得建立科学量化评估体系成为行业刚需。

为此，研究人员创新性地提出了首个多维多层次软件供应链威胁评估框架(Multidimensional and Multi-level Evaluation Framework for Software Supply Chain Threats, MMEF-SSCT)。该研究突破性地将"技术实施难度"与"攻击影响范围"双维度相结合，构建了包含开发-交付-使用全生命周期的立体评估模型。通过改进的层次分析法(Analytic Hierarchy Process, AHP)，团队成功量化了14种攻击战术和113项具体技术的权重系数，使得原本模糊的威胁值首次实现精确打分。

关键技术方法包括：1)基于战术-技术指标矩阵(Tactic-Technique Indicator Matrix, TTIM)的微观分析体系；2)改进的AHP权重分配算法；3)真实事件文本挖掘与验证方法。研究选取了具有代表性的软件供应链事件作为验证样本，通过横向对比证实新框架的评估准确率达到81.67%，较传统方法提升15个百分点。

研究结果部分显示：
《Software supply chain structure model and threat positioning》通过解构Zhou(2018)的三元模型与Du等(2013)的生命周期理论，首次将供应链威胁准确定位在开发、交付、运维等关键节点。
《Construction of a software supply chain threat quantification system》详细阐述了TTIM矩阵的扩展方法，其中技术维度细分为代码注入、证书伪造等9个子类，影响维度包含经济损耗、系统瘫痪等5级指标。
《Model Validation》通过SolarWinds事件案例分析，证明MMEF-SSCT能有效识别供应链中的"薄弱链路"，其风险预警时间较传统方法平均提前72小时。

这项发表于《Expert Systems with Applications》的研究，标志着软件供应链安全从"经验防御"迈向"量化治理"的重要转折。正如讨论部分强调的，该框架不仅解决了威胁评估的"盲人摸象"困境，其模块化设计更可适配5G、物联网等新兴场景。未来通过持续完善TTIM矩阵和引入机器学习算法，有望构建全球软件供应链的"风险气象图"，为数字化时代的网络安全提供精准导航。