2022年初,许多企业争先恐后地寻找并修补在应用程序中广泛存在的关键漏洞—Log4j库,而在接下来的十二个月里却出现了更加严重的Log4Shell漏洞。这说明了目前大多数的企业并不熟悉应用程序的构成组...
开发人员注意:VSCode 应用市场易被滥用于托管恶意扩展
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本...
软件供应链安全风险
软件供应链安全风险介绍软件供应链本身就是软件的生产过程,始终贯穿于软件研发生命周期(SDL)当中。在软件系统研发过程当中,时刻面临着有意或者无意引入漏洞的威胁。阶段案例需求设计手机被劫持:2016年,...
SEAL 0.3发布:国内首个全链路软件供应链安全管理平台
12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。两个月前 SEAL 0.2 发布,该版本创新性地提供了依赖...
【论文分享】开源生态中软件包相关的安全问题研究
本次分享的论文“Investigating Package Related Security Threats in Software Registries”主题是软件供应链安全,关注的是主流...
供应链安全,怎样在关键时刻不掉链子?
全文共2681字,阅读大约需5分钟。一概述软件技术飞速发展,软件开发手段不断进步,开源、云原生等技术被广泛应用。软件供应链在趋于多元化发展的同时,一方面加速了技术的革新和升级,同时也催化出一种新型的安...
御攻击者于供应链外
点击↑蓝字关注墨云安全供应链是公司内部深层次的复杂环境,涉及公司大部分基础设施、运营、人员和外部关系,比如供应商、合作伙伴和客户。保护供应链很难,因为安全团队需要照顾的敏感节点、线路和流程太多:软硬件...
保护软件供应链:开发人员实践指南(上)
2022年8月写在前面:CISA和其他两个部门一起编制了这个系列文档,分布针对开发人员、供应商和客户。本文是系列第一部分,针对开发人员。原文分为三节,只翻译了前两节,附录没有翻译。本文需要和SSDF对...
继公布开源计划之后,谷歌又推出最大的开源漏洞数据库
关键词SOV-Scanner当地时间12月13日,谷歌宣布开源OSV-Scanner,该开源漏洞扫描仪可访问各种项目的漏洞信息,加强软件供应链安全。谷歌软件工程师Rex Pan向媒体介绍,该工具基Go...
亚马逊ECR Public 严重漏洞可擦除或投毒任意镜像,引发供应链攻击
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本...
持续应用安全(CAS)研讨之:RASP
【编者按】持续应用安全(CAS)是数世咨询在软件供应链安全研讨会上首次提出的解决我国软件供应链安全问题的新思路。CAS专注于保障数字化应用的,源代码阶段-构建部署阶段-上线运行阶段,全流程的安全状态。...
软件供应链安全状况报告;TG向印度法院提供信息;
一名 23 岁的男子从一家美国美发连锁店偷走了 400,000 美元。他冒着 30 年监禁的风险©网络研究院美国司法部宣布逮捕一名嫌疑人,美国检察官达米安·威廉姆斯在纽约联邦法院对亚利桑那州 23 岁...
24