现代软件几乎80%的代码都是开源代码,开源软件已经成为现代软件开发的基石,但同时也是软件供应链中最薄弱的环节。根据应用安全公司Synopsys的调研,84%的商业和专有代码库中至少检测到一个已知的开源...
开源软件的引入安全性;老旧漏洞为何难以修补 | FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第207期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提...
S沙箱的别样功能
一般情况下,安全分析师们会使用沙箱判断该文件或者程序是否为恶意。殊不知这只是沙箱的其中一个用途,其实沙箱也可以当免费网盘使用,既不限速,还不限容量,妥妥白嫖。识别威胁笔者常常会下载一些开源软件来提高分...
CSRF防御机制反被CSRF误,csurf 开源NPM包被弃
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士英国网络安全公司 Fortbridge 的安全研究人员在应客户委托查看一份渗透测试报告时,在csurf开源软件中发现了更为严重的跨站点请求...
【技术分享】开源软件供应链攻击回顾
软件供应链攻击的特征是向软件包中注入恶意代码,以破坏供应链下游的相关系统。近年来,许多供应链攻击在软件开发过程中充分利用了开放源代码的使用, 这是由依赖项管理器(dependency managers...
从美国CISA KEV项目看海量漏洞管理方法
现状与难点01新形势下漏洞管理重要性凸显在信息科技高速发展的时代背景下,信息技术产品供应链愈发庞大,网络威胁形势不断变化,网络运营者面临高水平的安全运营需求,漏洞管理已经成为安全运营中最直接、最关键的...
开源软件安全性分析
一. 引言开源软件(Open source software, OSS)是指一种可查看、可修改的公开计算机程序,它对我们今天的软件开发产生了巨大的影响。从宏观分析,几乎所有的应用...
关于软件组成分析、开源软件治理部分,安全参与和介入工作以及牵头部门的讨论、什么是基于安全标记的访问控制... | 总第179周
0x1本周话题TOP2话题1:各位大佬,想咨询一下软件组成分析、开源治理这块儿工作,安全参与和介入的工作都有哪些,通常牵头部门是哪些团队?A1:检索SCA应该有不少文章的,检索软件供应链安全解决方...
DSO 2022 | OpenChain Shane:OpenChain与供应链信任建设
2022年12月28日,由悬镜安全主办,3S-Lab软件供应链安全实验室、ISC互联网安全大会、OpenChain社区、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会(DSO 2...
理解开源安全中的林纳斯定律
导读:林纳斯定律即“只要有足够多的眼睛关注,任何漏洞都无处隐藏”。那么林纳斯定律是如何应用于开源软件安全的呢?本文字数:3028,阅读时长大约:5分钟林纳斯定律(Linus's Law)即...
【公益译文】了解、预防、修复:开源漏洞讨论框架
全文共4940字,阅读大约需要15分钟2021年2月3日,谷歌安全博客(Google Security Blog)发表题为《了解、预防、修复:开源漏洞讨论框架》的文章,旨在解决开源软件漏洞问题,本文翻...
95%的开源漏洞隐藏在可传递依赖项中
点击上方蓝字关注我们测评你的薪资关注用户弹出对话框开始测评已关注用户点击下方即可测评95%的开源漏洞存在于可传递依赖项中——开发人员未选择的开源代码包,但间接地被拉入项目中。Endor Labs研发部...
11