快来学习了解软件供应链安全01什么是软件供应链安全软件供应链指的是需方和供方基于供应关系,开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成网链结构,涉及到软件产品和服务的所有组成部分和...
确保开发基础设施安全:软件供应链安全的新前沿
软件供应链对于现代软件开发来说不可或缺,因为它们推动了各行业的创新和效率。然而,尽管这些供应链至关重要,但它们也是威胁和攻击的渠道。随着威胁行为者的进化,他们所使用的方法也发生了变化。他们已经从利用已...
软件供应链安全实践
软件供应链:是一种由供应关系、供应活动构成的网链结构。需方从一个或多个供方采购和获取软件产品,形成一条软件供应链。软件供应链安全:是软件供应链各个关键环节上的安全内容的统称。治理的目标,就是通过管理制...
软件供应链安全实践的梳理
软件供应链:是一种由供应关系、供应活动构成的网链结构。需方从一个或多个供方采购和获取软件产品,形成一条软件供应链。软件供应链安全:是软件供应链各个关键环节上的安全内容的统称。治理的目标,就是通过管理制...
JFrog Artifactory 缺陷导致软件供应链易受缓存投毒攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士JFrog 为 Artifactory 平台发布关键安全公告,修复了一个严重漏洞CVE-2024-6915(CVSS 评分9.3)。该漏洞影响JFro...
Checkmarx警告:又一未知的攻击群体在通过NPM包进行软件供应链攻击
点击蓝字 关注我们(本文为国外技术文章翻译,加上译者个人观点;英文原文点击“阅读原文”)应用安全测试公司Checkmarx Ltd.的研究人员今天详细介绍了一种未知威胁行为,即攻击者利用NPM包攻击研...
如何确保整个供应链的网络弹性
网络安全经济学 1. 背景 在数字化的现代时代,供应链网络攻击的幽灵日益凸显,对各种规模和行业的组织构成迫在眉睫的潜在威胁。去年,供应链攻击占 所有违规行为的19% ,这显示出其惊人的威力。进入 20...
CISA发布联邦软件采购指南
美国网络安全与基础设施安全局(CISA)于当地时间8月1日发布了新的联邦政府软件采购指导方针。《软件采购指南》旨在提高软件采购过程中的安全保障和透明度。指南关注软件生命周期中的安全原则,要求供应商承担...
临阵磨枪,枪易折
以下仅为个人观点,不代表任何专业评述,请选择阅读周一国考就要开始了,这周估计是很多同行的噩梦,为期两个月的考试不知道会让多少人痛不欲生。作为一个局外人,对于这种考试的感觉就是如果平时功课做足了,考试只...
观星者哥布林的警示:瞄准病急乱投医的软件供应链水坑攻击
软件供应链攻击的新手法层出不穷,皆因一旦攻击得手,成本和收益几乎不具备可比性。例如被笔者反复老调重弹的太阳风网络攻击事件,美国政府方面的实际损失情况依然是讳莫如深,估计是非常严重。上周末,Check ...
软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思
昨天刚刚写完对 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》[1] 的解读,然后就是铺天盖地的 Windows 蓝屏导致外国大量关键基础设施停摆的新闻,国内也有企业被波及。笔者...
在DevSecOps CI/CD Pipelines中集成软件供应链安全战略
关于NIST SP 800-204D本出版物隶属于NIST SP 800-204系列,是截止目前该系列的收官之作。主要提供了如何在DevSecOps中集成软件供应链(SSC)安全的指导。如果读者对微服...