软件供应链安全_软件供应链安全技术文章_InfoQ写作社区

全部标签 



写点什么

登录注册

软件供应链安全

0 人感兴趣 · 65 次引用

关注

最新
推荐

https://static001.geekbang.org/infoq/b6/b613b9f18bc6e2b4331b2908cf7aa3d9.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

保密 + 完整 + 可用 + 安全，规避代码安全「马奇诺防线」，构建软件供应链整体安全

05-18

3大阶段 + 4 大要点，打造软件供应链整体安全。

高可用 DevSecOps geo 代码安全软件供应链安全

https://static001.geekbang.org/infoq/94/94d2c66979ea894d9353e5f78ded3c08.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

ihateniggers：针对 Python 开发者的 Windows 远控木马分析

05-12

墨菲安全实验室在持续监测开源软件仓库中的投毒行为，5 月 9 日起发现 4 个包含 "ihateniggers" 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库，试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、p

墨菲安全软件供应链安全投毒分析

14 条策略助力企业构建更安全的软件供应链

03-02

每个软件都存在供应链，然而现代软件大部分代码都是开源的，这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节，安全漏洞可能随时出现，因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供

SBOM 软件供应链安全

CVE-2023-23752 Joomla 未授权访问漏洞分析

02-23

Joomla 在海外使用较多，是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时未对请求参数有效过滤，导致攻击者可向 Joomla 服务端点发送包含 public=tru

漏洞分析软件供应链安全

CVE-2022-22947 SpringCloud GateWay SPEL RCE 漏洞分析

02-23

Spring Cloud Gateway 是Spring Cloud 生态中的API网关，包含限流、过滤等API治理功能。Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当actuator端点开启或暴露时，可以通过http请求修改路由，路由中包含的恶意filte

漏洞分析软件供应链安全

https://static001.geekbang.org/infoq/81/811b00e8c77d837bc85051cfe1bae9bf.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

Seal 0.4 发布：软件供应链安全洞察更上一层楼！

02-15

今天，我们很高兴宣布 Seal 0.4 已正式发布！

软件供应链安全 SEAL 企业号 2 月 PK 榜

https://static001.geekbang.org/infoq/a8/a89e3fd2a7697679795ec310ed70c498.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

ChatGPT 类 AI 软件供应链的安全及合规风险

02-14

近日，OpenAI推出的ChatGPT通过强大的AIGC（人工智能生产内容）能力让不少人认为AI的颠覆性拐点即将到来，基于AI将带来全新的软件产品体验，而AI也将会成为未来软件供应链中非常重要的一环。

代码安全检测墨菲安全软件供应链安全 ChatGPT

https://static001.geekbang.org/infoq/1f/1fa659d4a7b4ae8f8231f711d7a4c753.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

墨菲安全软件供应链安全产品 v3.0 正式公测之产品特性简介及用户升级说明

2022-12-30

墨菲安全 2.0 产品 3 月份发布以来过去了 9 个月的时间，在这期间收获了超过 10000+ 开发者用户，700+ 的开源项目 star 以及包括蚂蚁、平安、快手等在内的数十个企业版客户；在这个过程中我们一共收集到 283 个用户给我们产品提交的 350 个反馈和建议。

软件成分分析开源安全墨菲安全软件供应链安全

https://static001.geekbang.org/infoq/f3/f3c83dd85d2011da227cc07b70cb2290.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

【漏洞分析】Apache ShardingSphere-Proxy <5.3.0 身份认证绕过

2022-12-27

2022年12月22日，Apache 官方公告发布 ShardingSphere-Proxy 5.3.0 之前版本存在身份绕过漏洞（CVE-2022-45347）。当 ShardingSphere-Proxy 使用 MySQL 作为后端数据库时，由于 ShardingSphere-Proxy 在客户端认证失败后没有完全清理数据库会话信息，攻击者可

开源安全漏洞软件供应链安全

https://static001.geekbang.org/infoq/cd/cdf09239702f4e0ce933dd5d2a0a7904.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

论坛回顾｜蚂蚁供应链安全建设实践

2022-12-22

本文整理自 OSCS 软件供应链安全技术论坛- 边立忠（京蛰）老师的分享《蚂蚁供应链安全建设实践》。

软件供应链安全

https://static001.geekbang.org/infoq/6a/6a7601697ea94cc37a7f0a99a1da1d92.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

本年度软件供应链攻击事件回顾

2022-12-21

软件供应链攻击在过去几年呈上升趋势，并且迅速成为最危险的安全威胁之一。本文将重点介绍了 2022 年到目前为止观察到的一些最值得注意的软件供应链攻击事件。

基础设施第三方风险软件供应链安全软件供应链攻击 12 月 PK 榜

构建数字时代下的软件供应链安全体系

2022-12-13

近日，国内新一代风险投资机构绿洲资本举办了以“参赞生命力”为主题的三周年庆典活动，云起无垠创始人兼CEO沈凯文也应邀到场，并以《构建数字时代下的软件供应链安全体系》为题展开精彩演讲。

软件软件供应链安全

https://static001.geekbang.org/infoq/d3/d3a17cc887a90fba1d51d6d61d36d8a7.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

一文带你读懂 Google GUAC 项目

2022-12-09

2022 年 10 月，Google 宣布了一个新的开源项目，称为 Graph for Understanding Artifact Composition（简称 GUAC）。该计划尚处于早期阶段，但有望改变行业对软件供应链的理解。

Google 软件供应链安全 12 月 PK 榜 GUAC

https://static001.geekbang.org/infoq/7f/7fe54e5a751cd981d6c5ed7e7c4c1b26.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

企业如何应对开源软件供应链安全问题？

2022-12-04

2022国际开源节在深圳福田会展中心隆重召开。上海安势信息技术有限公司资深解决方案架构师朱贤曼发表了题为《企业如何应对开源软件供应链安全问题》的精彩演讲，朱贤曼指出企业在树立安全合规意识的基础上，需要搭建开源治理体系，整体管控软件供应链风险。

开源开源安全软件供应链安全开源安全与治理清源CleanSource SCA

https://static001.geekbang.org/infoq/df/df8dfd91e1efdd0c565e4ee330eddad0.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

企业数字化转型中面临的开源供应链的挑战及应对措施

2022-11-24

我国企业和开发者也正逐步从使用开源向贡献与参与开源过渡，并呈现从高科技行业向传统行业蔓延的趋势。但同时有60%-80%的代码库存在许可证冲突的问题。企业应当开始重视在企业数字化转型中可能会面临的安全与合规问题。

开源企业数字化转型开源软件供应链软件供应链安全安势信息

https://static001.geekbang.org/infoq/6c/6c426b811ce59cab46c405dbc279eb6a.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

国标解读｜从关键信息基础设施安全国标看软件供应链安全

2022-11-18

近日《信息安全技术关键信息基础设施安全保护要求》国家标准正式发布，《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。

SBOM 软件供应链安全

https://static001.geekbang.org/infoq/ba/bae773607736360a3759621875d4d5b7.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

技术公开课｜深度剖析 Java 的依赖管理，快速生成项目 SBOM 清单

2022-11-18

近年来软件供应链安全风险涌现，无论是 Fastjson、Log4j 等基础组件的 0day，来源于开源的风险事件不断上升，对于研发以及安全同学来说，都是在不断的摸索建立有效的预防及解决机制，公开课将以风险治理为最终目标、以SBOM作为治理载体和依据、以生态和包管理

Java SBOM 软件供应链安全

注意 ! !｜95% 的应用程序中发现错误配置和漏洞

2022-11-18

在进行4300次测试后，发现95%的应用程序中都至少都有一个影响安全的漏洞或配置错误，其中高危漏洞占20%，严重漏洞则占4.5%。

配置管理软件供应链安全漏洞管理

https://static001.geekbang.org/infoq/31/3174b15531af06455125215ce5ec09d4.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2023 年网络安全趋势

2022-11-09

2023年，网络安全仍然是企业在加强数字防御任务中的重点。

网络安全软件供应链安全

CIO 们开始将软件供应链升级为安全优先级 top

2022-11-08

开源之所以在软件开发中大量使用的原因是它提供了经过良好测试的构建块，可以加速复杂应用程序和服务的创建。但是第三方软件组件以及包和容器的便利性同时也带来了风险——软件供应链攻击。

DevOps 开源软件软件供应链 SBOM 软件供应链安全

https://static001.geekbang.org/infoq/2a/2a4aad078fca0dd7952169314e762b23.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

梁胜博士：软件供应链安全两手抓，既要安全左移也要全链路防护丨活动回顾

2022-11-07

11月1日下午，由深圳金融科技协会主办的湾区湾区金科（Fintech）沙龙（第四十期）—— 敏捷开发安全与软件供应链安全实践探讨专场圆满举办，逾1500名业界人士线上线下同步参加。数澈软件 Seal 联合创始人梁胜博士和江鹏受邀出席此次沙龙并发表题为《如何保证

DevOps DevSecOps 软件供应链安全左移软件供应链安全

4 步消除漏洞积压

2022-11-04

不断增长的漏洞积压，加上对修复哪些漏洞以及何时修复缺乏明确性，可能导致一系列包括浪费开发人员的时间，延迟上市时间，以及由于修复时间长而增加企业攻击面等问题。当代行业和环境要求快速、频繁地推出功能性和安全代码的压力一直存在，而这也倒是需要开发

漏洞修复软件供应链安全漏洞管理 11月月更

平均 110 万个漏洞被积压，企业漏洞管理状况堪忧

2022-11-03

在软件安全的世界中，企业在软件开发生命周期中都面临着漏洞带来的巨大挑战。开发人员每天都需要确保交付没有漏洞的代码，因此他们需要花费大量的时间来解决首要处理的漏洞问题以确保企业软件安全。然而确保产品没有漏洞缺陷的需求扼杀了创新的步伐，延迟软件

DevSecOps 漏洞修复软件供应链安全漏洞管理漏洞优先级匹配

乐高式扩展：在 Seal 软件供应链防火墙中轻松集成代码规范工具

2022-11-02

上个月，Seal 软件供应链防火墙 v0.2（以下简称“Seal”）正式发布，这一版本实现了可扩展架构，用户可以根据自身需求插件式集成原生或第三方解决方案，灵活扩展扫描能力。

开源 DevOps 云原生 DevSecOps 软件供应链安全

漏洞评分高达 9.8 分！Text4Shell 会是下一个 Log4Shell 吗？

2022-10-31

在过去的几天里，Apache Commons Text 库中一个名为 Text4Shell 的新漏洞引起很大的轰动，该漏洞存在于 Apache Commons Text 1.5到1.9版本中。此警报于10月18日发布，此前检测到大量试图利用 CVE-2022-42889 安全漏洞的攻击尝试，该漏洞通过 StringSubstitut

安全 log4j 漏洞分析 Log4j2 漏洞软件供应链安全

为什么软件供应链攻击愈演愈烈？

2022-10-27

你可能或多或少在头条新闻中有看到过或了解过和软件供应链攻击相关的信息，比如 2020年的 SolarWinds 事件，再比如2021年的 Kaseya 事件（点击查看关联文章）。如果到目前为止你对软件供应链攻击尚不了解，那么这里有一个简要解释：当恶意代码在开发过程中被

开源开源软件软件供应链安全软件攻击

开源软件供应链攻击激增 430%，供应链安全不容小觑丨行业报告解读

2022-10-25

近日，业内知名机构 Sonatype 在本月18号的 DevOps 企业大会上发布其年度软件供应链现状报告。本文为你总结该报告的关键信息，带你了解今年的软件供应链安全状况。

开源 DevOps 行业报告软件供应链安全

开源依赖管理的最佳实践

2022-10-19

开源软件无处不在。无论是哪个行业，每个企业都依赖软件来满足其业务需求。企业构建和使用的大多数应用程序在其代码中都包含开源元素。近几年软件行业逐渐迁移到云上，并且随着应用程序复杂性的增加，软件安全风险也随之增加。

开源许可证开源安全软件供应链安全开源安全与治理 10月月更

十大 CI/CD 安全风险（五）

2022-10-18

在本篇文章中，我们将了解第三方服务的监管不足，工件完整性验证及日志可见性不足这三个关键 CI/CD 安全风险，并给出缓解相应风险的建议与措施。

DevOps CI/CD 软件供应链安全日志记录

Gartner 权威解读： SBOM 采用率将于 2025 年达到 60%

2022-10-17

随着现代软件开发越来越依赖于第三方资源，针对软件供应链的恶意攻击数量也随之激增。据业内权威机构 Gartner 预计，软件物料清单 (SBOM) 的采用率在 2025 年将会达到 60%。Gartner 明确提醒软件开发企业及组织，如果想要在软件市场上保持良好的竞争力，

DevSecOps Gartner SBOM 软件供应链安全

玩转社区

Q&A

优质合集

精选文章

企业号社区

行业技术资讯

三周年

征文活动