概述 悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。在2024年2月份,悬镜供应链安全情...
企业开展开源安全治理必要性及可行性详细分析
背景开源软件安全威胁是近几年企业安全面临的主要威胁,也是企业应用安全方向讨论的热门话题,但是由于是新的需求新的方向,很多企业在观望,当前开展这项工作是否已经成熟,项目成功率如何?当新鲜事物产生时,首先...
透视镜 | 浅谈软件成分分析SCA
随着企业软件部署周期的缩短以及开发效率的提高,特别是在2021年SolarWinds和Log4j漏洞事件引发全球关注后,软件成分分析(SCA)工具越来越受到业界的重视。当下,SCA产品已经逐渐成为企业...
我们该怎么和那些不安全的遗留代码打交道?
在当下的互联网环境中,网络不法者的恶意侵入已经变得越来越频繁,各行各业的组织都该对此提高警惕,稍一不慎,就有可能让自己处在危险的境地。国外安全专家为此总结,企业可能存在各种疏忽,以至于黑客们能有机可乘...
软件成分分析SCA关键技术解析
数字时代的软件开发普遍遵循敏捷实践,发布和部署周期都很短,开发团队非常依赖开源来加速创新迭代速度。因此,对团队项目中包含的每个开源组件进行跟踪非常重要,可以避免法律风险,保持强大的安全态势。在DevS...
【AI】Hugging Face datasets开源组件供应链攻击复现分析
0x01 前言供应链攻击已经是老生常谈了,但是利用大模型做供应链你听说过吗?下面一起来复现一下吧:作为“AI领域的GitHub“,全球最具影响力的AI开源社区,Hugging Face 提供了大量高质...
软件供应链安全视角下的安全开发研究和应用
摘 要信息化时代软件成为社会运作基本组件,地位及其重要性不断提高。特别是数字中国建设的提出进一步强化了软件的地位,软件行业快速发展并通过软件定义快速融入生活的方方面面。随之而来的软件供应链安全问题也趋...
金融业开源及软件供应链安全治理六大关键挑战
本文核心内容导读1)金融行业的自研及外采软件大量引入开源软件,受到严重的开源软件安全漏洞威胁2)金融行业开展开源软件供应链安全治理时普遍会遇到的六大关键挑战3)10月13日,金融行业软件供应链安全治理...
开源组件漏洞可利用性分析的落地实践与经验之谈 | 总第208周
0x1 本周话题话题:开源组件漏洞的可达性或实际可利用性分析识别,大家有什么落地实践或经验吗?即使是商业版sca很多也只是照搬公开漏洞库做简单的版本匹配。A1:今年rsa沙盒有一家的产品说是可以跟...
近期大型攻防演练观感及未来攻防趋势判断
先说结论 今年大型攻防演练的观感:1. 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击(以安全产品、OA、cms、办公软件为主)2. 社工+钓鱼又玩出了新花样(红队这帮人估计去电诈团队培...
2023攻防演练必修开源组件漏洞合集
前言 近年来,随着互联网技术的不断发展,网络安全问题也日益凸显。攻击者们利用各种手段对网络系统进行攻击,开源软件的漏洞已经深深影响了应用系统的安全性,历史的高风险漏洞及大量的0d...
软件供应链检测工具现状分析
一. 软件供应链 1.1 软件供应链漏洞 Verocode研究结果表明[1],在开源组件仓库中70.5%的代码库存在安全漏洞,而这些安全漏洞风险46.6%是由其他开源项目直接、间接引进所导致的。Bla...