前言开源产品RCE年年有,今年特别多。很多同学可能都有过这样一种困惑,即面对完全未知或者不是很熟悉的的开源产品的RCE时,不知道该如何下手去分析。本篇文章中,笔者将以最近的Spring Cloud G...
漏洞分析指南:开源软件漏洞深度分析与实战复现
漏洞分析指南开源软件漏洞深度分析与实战复现 在漏洞研究中,缺乏公开的PoC(Proof of Concept)或Exp(Exploit)的Nday漏洞往往成为安全分析的难点,这类漏洞可能因未公开细节...
美国宇航局开源软件中爆出大量严重漏洞
就在全球对政府机构软件安全信心日益动摇之际,一则关于NASA开源项目的爆炸性发现,再次敲响了警钟。知名安全研究员、ThreatLeap创始人Leon Juranić在短短4小时的人工代码审查中,发现了...
开源软件安全管理方案
开源软件安全管理方案需结合政策、技术、资金和社区协作等多方面措施,以应对日益严峻的供应链安全挑战。以下从多个维度总结关键方案:一、政策与标准建设识别关键项目与基线标准优先识别对供应链影响广泛的核心开源...
【电子取证篇】Autopsy数字取证开源软件2025年更新
Autopsy是数字取证工具"The Sleuth Kit(TSK)"的图形界面,一款用来分析磁盘镜像和数据恢复的开源取证工具。开提供在磁盘镜像中进行字符串提取,恢复文件,时间轴分析,浏览器等浏览历史...
开源软件最佳实践和供应链风险管理
1摘要本报告概述并评估了在各种组织环境中管理和降低与开源软件(OSS)相关的风险的有效策略。它提供了来自各种来源(包括国家政府、行业标准、现有实践和正式标准机构)的指南的详细概述。该报告最后提出了一组...
【电子取证篇】Autopsy数字取证开源软件2025年更新
Autopsy是数字取证工具"The Sleuth Kit(TSK)"的图形界面,一款用来分析磁盘镜像和数据恢复的开源取证工具。开提供在磁盘镜像中进行字符串提取,恢复文件,时间轴分析,浏览器等浏览历史...
【天问】警惕针对deepseek的开源软件供应链攻击
自从2024年12月26日deepseek V3发布之后,开源生态中出现了大量与其相关的软件包,大多数为工具类软件包。但天问监测模块发现了其中潜藏的部分恶意攻击包,通过包名伪造来诱导用户下载,窃取用户...
软件所提出面向开源人工智能框架的漏洞检测方法
近日,软件所智能软件研究中心研究团队基于开源软件供应链重大基础设施平台“源图”,在开源人工智能(AI)框架漏洞检测领域取得进展。研究团队通过微调大语言模型,构建AI框架间的代码映射关系,来实现对开源A...
开源软件供应链攻击分类
原文标题:Taxonomy of Attacks on Open-Source Software Supply Chain原文作者:Piergiorgio Ladisa, Henrik Plate, ...
流行的开源软件包中发现了加密货币挖矿木马
导 读一系列针对流行开源软件包的攻击事件被发现,暴露出广泛使用的软件工具中恶意代码渗透的风险越来越大。攻击者在与 rspack(JavaScript 打包程序)和 vant(用于移动 Web 应用的 ...
【论文速读】| 利用人工智能修复 OSS-Fuzz 中的安全漏洞
基本信息原文标题:Fixing Security Vulnerabilities with AI in OSS-Fuzz原文作者:Yun Tong Zhang, Jiawei Wang, Domini...