伴随着全球化和数字化的不断推进,软件供应链安全问题受到越来越多的关注。近年来大幅采用外包云计算、开源组件等降本增效的方式来应对市场变化,增强竞争力的企业占比,以及以政治或商业等为目的的软件供应链攻击数...
大话软件供应链攻击
0x01 何为软件供应链攻击从今年大型红蓝对抗活动来看,供应链攻击已经成为红队突破目标最主流的方式之一了。举个例子,你的源代码将存储在私有的Git仓库中,这可能是你的基础设施的一部分,也可...
近期大型攻防演练观感及未来攻防趋势判断
先说结论 今年大型攻防演练的观感:1. 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击(以安全产品、OA、cms、办公软件为主)2. 社工+钓鱼又玩出了新花样(红队这帮人估计去电诈团队培...
OSC&R:针对软件供应链的 ATT&CK 框架
背景多年来,供应链攻击一直被视为一项严重的安全隐患。但是,供应链的攻击由于其攻击难度高,见效慢等特征,以及防守方侥幸心理,一直不受重视。近年来,整个社会似乎面临着更多、更有组织的攻击浪潮。这可能是因为...
从加快软件物料清单建设浅谈软件供应链安全
开源技术应用广泛 软件供应链风险增加开源技术应用全球范围内持续增长,覆盖当前主流技术领域。开源技术与数字化转型呈现出相互促进的特点,全面渗透到制造、交通、能源等近二十个国民经济重点行业,已成为行业发展...
金融行业软件供应链安全浅析|大湾区金融安全专刊·安全村
软件供应链安全背景在当今数字化时代,软件应用无处不在。软件就像人体中的“软组织”,已经成为支撑人类社会正常运转的基本元素之一,软件安全性问题也正在成为当今社会特别是金融行业面临的基础性重大问题。随着软...
软件供应链检测工具现状分析
一. 软件供应链 1.1 软件供应链漏洞 Verocode研究结果表明[1],在开源组件仓库中70.5%的代码库存在安全漏洞,而这些安全漏洞风险46.6%是由其他开源项目直接、间接引进所导致的。Bla...
给CISO的软件供应链债务偿还指南
推出新性能和功能与偿还技术债务之间总是存在妥协,这些IT技术债务包括可靠性、性能、测试,当然也包括安全等等。 在这个“快速交付和破旧立新”的时代,累积安全债是组织机构自愿作出的决策。每个组织机构的 J...
安全事件运营SOP:软件供应链投毒事件
在开篇《安全事件运营SOP【1】安全事件概述》中,介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时,该如何快速处置?以及如何保证不同人员处置的效果都达标?安全事件的种类虽然繁多,但...
慢雾出品|Web3 行业供应链安全指南
背景概述2022 年 12 月 21 日,Web3 基础设施提供商 Ankr 发布事后报告,公布因 aBNBc 代币漏洞导致 500 万美金加密货币被黑的调查结果。Ankr 前团队成员恶意地进行了供应...
MOVEit 爆第三个 0day,美国多个联邦机构等受影响
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为...
新型供应链攻击利用被弃的 S3 存储桶分发恶意二进制
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为...