开源是一种精神,更是一种合作共赢的模式。不过如今的开源生态虽然得以让诸多的程序员、技术人们学习、修改以及以任何目的向任何人分发开源软件,但是这并不意味着足够的安全。在本文中,我们将从最新发布的《开源漏...
RubyGems 包管理器中存在严重的 Gems 接管漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士RubyGems 包管理器的维护人员修复了一个严重漏洞 (CVE-2022-29176),在一定条件下,它本可被滥用于删除gems 并以恶...
开源的dotCMS 内容管理软件中存在严重的RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士用Java编写的开源内容管理系统 dotCMS 中存在一个预认证远程代码执行漏洞。dotCMS “由全球70多个国家的10000多名客户使...
依赖性问题:解决全球开源软件安全问题
关注我们带你读懂网络安全一个孤独的程序员依靠自己的天才和技术敏锐度来创建下一个伟大的软件的想法总是有点牵强。今天,它比以往任何时候都更像是一个神话。竞争激烈的市场力量意味着软件开发人员必须依赖数量不详...
【文末下载PPT】李中文:软件成分安全分析(SCA)能力的建设与演进
本文首发原作者在CIS 2021的演讲PPT,重点介绍了软件供应链在应用研发过程引入的风险,业界的SCA理念,以及美团安全实际建设过程中遇到的问题和指标体系。不要被理论吓住,SCA没有什么黑科技,没必...
FreeBuf周报 | 北京健康宝遭境外网络攻击;可口可乐证实受到网络攻击并开展调查
各位 FreeBufer 周末好~以下是本周的「FreeBuf 周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1、Atlas...
软件成分安全分析(SCA)能力的建设与演进
// 文丨李中文(e1knot)现任美团安全高级工程师,负责公司基础安全运营相关的能力建设工作,拥有丰富的安全运营能力建设经验。曾在 DEFCON China、ISC等多个会议分享安全运营相...
疫情之下,金融行业供应链安全走向何方
当下疫情形势严峻,虽说未来疫情一定会过去的,但长期与疫情共存可能是大家必须接受的现实,疫情必将限制金融行业与供应商的交互,给供应链的管理增加无穷困难。 目前金融行业供应链安全管理主要是两大问...
【开源组件系列】CVE-2022-0265 Java开源组件安全之Hazelcast XXE漏洞
漏洞信息Hazelcast是一套可扩展的开源数据分发平台。在上一篇文章中:CVE-2022-26133 Atlassian Bitbucket Data Cen...
4