原文标题:Taxonomy of Attacks on Open-Source Software Supply Chain原文作者:Piergiorgio Ladisa, Henrik Plate, ...
流行的开源软件包中发现了加密货币挖矿木马
导 读一系列针对流行开源软件包的攻击事件被发现,暴露出广泛使用的软件工具中恶意代码渗透的风险越来越大。攻击者在与 rspack(JavaScript 打包程序)和 vant(用于移动 Web 应用的 ...
【论文速读】| 利用人工智能修复 OSS-Fuzz 中的安全漏洞
基本信息原文标题:Fixing Security Vulnerabilities with AI in OSS-Fuzz原文作者:Yun Tong Zhang, Jiawei Wang, Domini...
渗透测试基本流程
什么是渗透测试?渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。...
9款网站目录扫描工具推荐——附下载链接与相关字典
御剑 御剑是一款目录探测工具,同样可以用于扫描备份文件,操作很简单,打开软件输入网址扫描即可,配置都是默认配置了的。如果有必要可以自行修改配置更改字典。字典选择的话下面打勾...
Lineaje 报告显示开源软件漏洞增多
Lineaje 发布了一份报告,强调了全球软件供应链中的漏洞,重点关注开源组件的依赖性。这份名为《跨越界限:打破信任》的报告由 Lineaje AI Labs 编写,分析了超过 700 万个开源软件包...
YourPHPCMS系统sql注入漏洞 PoC
0x01 fofa查找 header="YP_onlineid" 0x02 漏洞描述 Yourphp 企业网站管理系统是一款完全开源免费的PHP MYSQL系统.核心采用了Thinkph...
夜天之书 #104 开源软件有断供的风险吗?
近期,Linux 上游因为受美国出口管制条例的影响,将移除部分开发者的 MAINTAINER 权限,引起了新一轮对开源依赖的重新评估。关于其中开源精神和社群治理的讨论,卫 Sir 的两篇文章已经讨论得...
供应链安全案例研究 | 金融行业安全开发场景的供应链安全建设
当前,随着数字经济的快速发展,数字中国的建设在各行各业中蓬勃推进。金融作为数字化转型的先锋行业,其探索已经从浅层的流程优化逐步深入到更为全面、深刻的系统革新。金融业务需要快速响应市场变化,推动业务的高...
CVE不受控制地扩散的原因是什么?
常见漏洞和暴露 (CVE)的数量已达到惊人的水平,给组织的网络防御带来巨大压力。根据SecurityScorecard的数据,2023 年记录了 29,000 个漏洞,到 2024 年中期,已发现近 ...
软件供应链十年:探索开源的增长、风险和未来
十年演变:有什么变化?十年前,当我们首次开始跟踪开源软件的使用情况时,情况完全不同。软件开发仍在追赶云原生架构,安全问题也更加本地化。快进到今天,开源软件占现代应用程序代码库的 90%,今年全球开源软...
2024年恶意开源软件包出现爆炸式增长
开源开发环境中,恶意软件组件的比重日益攀升,使得企业对于软件供应链所面临的风险高度警觉。根据软件供应链管理公司 Sonatype 的最新报告,恶意软件正以前所未有的速度侵入开源软件的开发生态系统。自2...