概述 悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。在2024年2月份,悬镜供应链安全情...
一文了解供应链攻击
供应链攻击是网络安全领域的一种新兴威胁,它利用供应链中的漏洞对目标进行攻击。本文将介绍供应链攻击的概念、类型、危害,并通过具体案例阐述其影响,同时探讨如何防范供应链攻击,以提高人们对供应链攻击的认识和...
点评软件供应链安全框架 in-toto 的审计结果
在笔者之前一篇关于软件供应链安全的文章中,带出了 in-toto 这个软件供应链安全框架。这个项目在 2023 年 2 月进行了项目规范及源代码审计,审计结果已公布在项目网站上。无论是开发者或网络安全...
OKX DEX攻击事件分析及链上资产追踪
2023年12月12日,OKX DEX Proxy 管理员私钥疑似泄露,攻击者已获利约270万美元。一、攻击事件分析OKX: Dex Aggregator合约:0x70cbb871e8f30fc8ce...
AI供应链安全:Hugging Face 恶意ML模型事件分析
01 Hugging Face供应链攻击事件分析事件背景近期由JFrog安全团队监控发现,Hugging Face平台上的某些机器学习模型可能被用于对用户环境进行攻击。这些恶意的模型在加载时会导致代码...
供应商将战略重心转向服务
日前,安全管理公司Rapid7和数据安全公司Varonis共同推出了全新的托管服务,成为最新的将复杂安全功能集成到托管产品中的企业。 2月6日,Rapid7公司宣布推出托管数字风险保护(DRP)服务。...
从网络安全攻防视角下分析供应链安全
近两年,在hw,重保等行动中,供应链安全越来越凸显其重要性,本文主要进行一些简单介绍和分享供应链安全(Supply Chain Security in Cybersecurity)网络安全中的供应链安...
SCA 技术进阶系列(五): 揭秘运行时SCA-新视角下的供应链安全革新
目录 一、静态 SCA 工具的“警报疲劳” 二、运行时 SCA - 供应链安全新视角 三、运行时 SCA 实践方案 四、结语 本文字数:5188 ,阅读时长:13分钟 一、静态SCA工具的“警报疲劳”...
天问 | PyPI 2023年Q3恶意包回顾(一)
2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。其中包含大量类似W4SP Stealer的信息窃取恶意包,它们可以窃取受害者的个人信息,Discord密码,加密货币钱包等...
第三方供应商风险管理的六大实践
随着云存储、软件即服务(SaaS)和人工智能、网络安全等外部产品的激增,管理第三方供应商的风险变得空前紧迫和重要。 2023年RSA会议报告发现,87%的受访CISO过去12个月遭受过源自第三方的重大...
供应链安全:cURL最新远程堆溢出漏洞复现与修复建议
漏洞概述 General Info cURL 是一个支持多种网络协议的开源项目,被广泛集成到自动化构建、网络测试、网络数据采集以及其他网络相关的任务中,备受开发者和系统管理员青睐。 cURL在2023...
2024 年网络安全洞察:供应链安全
供应链威胁多年来一直在增长。这简直就是一门好犯罪生意。针对供应商的一次成功可能会导致针对供应商下游客户的多次机会。为了让攻击者更容易,让下游防御者更难,供应商通常比大客户规模更小,防御也更差。这是通向...
20