写点什么

软件供应链安全

0 人感兴趣 · 53 次引用

  • 最新
  • 推荐
https://static001.geekbang.org/infoq/d3/d3a17cc887a90fba1d51d6d61d36d8a7.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

一文带你读懂 Google GUAC 项目

2022 年 10 月,Google 宣布了一个新的开源项目,称为 Graph for Understanding Artifact Composition(简称 GUAC)。该计划尚处于早期阶段,但有望改变行业对软件供应链的理解。

https://static001.geekbang.org/infoq/7f/7fe54e5a751cd981d6c5ed7e7c4c1b26.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

企业如何应对开源软件供应链安全问题?

2022国际开源节在深圳福田会展中心隆重召开。上海安势信息技术有限公司资深解决方案架构师朱贤曼发表了题为《企业如何应对开源软件供应链安全问题》的精彩演讲,朱贤曼指出企业在树立安全合规意识的基础上,需要搭建开源治理体系,整体管控软件供应链风险。

https://static001.geekbang.org/infoq/df/df8dfd91e1efdd0c565e4ee330eddad0.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

企业数字化转型中面临的开源供应链的挑战及应对措施

我国企业和开发者也正逐步从使用开源向贡献与参与开源过渡,并呈现从高科技行业向传统行业蔓延的趋势。但同时有60%-80%的代码库存在许可证冲突的问题。企业应当开始重视在企业数字化转型中可能会面临的安全与合规问题。

https://static001.geekbang.org/infoq/6c/6c426b811ce59cab46c405dbc279eb6a.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

国标解读|从关键信息基础设施安全国标看软件供应链安全

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布,《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。

https://static001.geekbang.org/infoq/ba/bae773607736360a3759621875d4d5b7.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

技术公开课|深度剖析 Java 的依赖管理,快速生成项目 SBOM 清单

近年来软件供应链安全风险涌现,无论是 Fastjson、Log4j 等基础组件的 0day,来源于开源的风险事件不断上升,对于研发以及安全同学来说,都是在不断的摸索建立有效的预防及解决机制,公开课将以风险治理为最终目标、以SBOM作为治理载体和依据、以生态和包管理

注意 ! !|95% 的应用程序中发现错误配置和漏洞

在进行4300次测试后,发现95%的应用程序中都至少都有一个影响安全的漏洞或配置错误,其中高危漏洞占20%,严重漏洞则占4.5%。

https://static001.geekbang.org/infoq/31/3174b15531af06455125215ce5ec09d4.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2023 年网络安全趋势

2023年,网络安全仍然是企业在加强数字防御任务中的重点。

CIO 们开始将软件供应链升级为安全优先级 top

开源之所以在软件开发中大量使用的原因是它提供了经过良好测试的构建块,可以加速复杂应用程序和服务的创建。但是第三方软件组件以及包和容器的便利性同时也带来了风险——软件供应链攻击。

https://static001.geekbang.org/infoq/2a/2a4aad078fca0dd7952169314e762b23.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

梁胜博士:软件供应链安全两手抓,既要安全左移也要全链路防护丨活动回顾

11月1日下午,由深圳金融科技协会主办的湾区湾区金科(Fintech)沙龙(第四十期)—— 敏捷开发安全与软件供应链安全实践探讨专场圆满举办,逾1500名业界人士线上线下同步参加。数澈软件 Seal 联合创始人梁胜博士和江鹏受邀出席此次沙龙并发表题为《如何保证

4 步消除漏洞积压

不断增长的漏洞积压,加上对修复哪些漏洞以及何时修复缺乏明确性,可能导致一系列包括浪费开发人员的时间,延迟上市时间,以及由于修复时间长而增加企业攻击面等问题。当代行业和环境要求快速、频繁地推出功能性和安全代码的压力一直存在,而这也倒是需要开发

平均 110 万个漏洞被积压,企业漏洞管理状况堪忧

在软件安全的世界中,企业在软件开发生命周期中都面临着漏洞带来的巨大挑战。开发人员每天都需要确保交付没有漏洞的代码,因此他们需要花费大量的时间来解决首要处理的漏洞问题以确保企业软件安全。然而确保产品没有漏洞缺陷的需求扼杀了创新的步伐,延迟软件

乐高式扩展:在 Seal 软件供应链防火墙中轻松集成代码规范工具

上个月,Seal 软件供应链防火墙 v0.2(以下简称“Seal”)正式发布,这一版本实现了可扩展架构,用户可以根据自身需求插件式集成原生或第三方解决方案,灵活扩展扫描能力。

漏洞评分高达 9.8 分!Text4Shell 会是下一个 Log4Shell 吗?

在过去的几天里,Apache Commons Text 库中一个名为 Text4Shell 的新漏洞引起很大的轰动,该漏洞存在于 Apache Commons Text 1.5到1.9版本中。此警报于10月18日发布,此前检测到大量试图利用 CVE-2022-42889 安全漏洞的攻击尝试,该漏洞通过 StringSubstitut

为什么软件供应链攻击愈演愈烈?

你可能或多或少在头条新闻中有看到过或了解过和软件供应链攻击相关的信息,比如 2020年的 SolarWinds 事件,再比如2021年的 Kaseya 事件(点击查看关联文章)。如果到目前为止你对软件供应链攻击尚不了解,那么这里有一个简要解释:当恶意代码在开发过程中被

开源软件供应链攻击激增 430%,供应链安全不容小觑丨行业报告解读

近日,业内知名机构 Sonatype 在本月18号的 DevOps 企业大会上发布其年度软件供应链现状报告。本文为你总结该报告的关键信息,带你了解今年的软件供应链安全状况。

开源依赖管理的最佳实践

开源软件无处不在。无论是哪个行业,每个企业都依赖软件来满足其业务需求。企业构建和使用的大多数应用程序在其代码中都包含开源元素。近几年软件行业逐渐迁移到云上,并且随着应用程序复杂性的增加,软件安全风险也随之增加。

十大 CI/CD 安全风险(五)

在本篇文章中,我们将了解第三方服务的监管不足,工件完整性验证及日志可见性不足这三个关键 CI/CD 安全风险,并给出缓解相应风险的建议与措施。

Gartner 权威解读: SBOM 采用率将于 2025 年达到 60%

随着现代软件开发越来越依赖于第三方资源,针对软件供应链的恶意攻击数量也随之激增。据业内权威机构 Gartner 预计,软件物料清单 (SBOM) 的采用率在 2025 年将会达到 60%。Gartner 明确提醒软件开发企业及组织,如果想要在软件市场上保持良好的竞争力,

https://static001.geekbang.org/infoq/d9/d9f9bf5b713103e12c45c926f0186e50.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

安势清源 SCA 助力超大规模高科技企业加速开源风险治理

近日,上海安势信息技术有限公司的清源SCA工具在腾讯成功部署。清源SCA工具,经过多轮PoC测试,从众多国内外竞品中脱颖而出,满足了腾讯对SCA工具的高标准要求:扫描速度快、扫描结果准确、及合规性扫描能力、知识库全面,达到提升内部安全与合规管控的目的。

https://static001.geekbang.org/infoq/32/32d31e79d18fc8a5c82d27d52ab0f253.gif?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

欧美开源法案频出,你准备好了吗?

欧盟《网络弹性法案》及美国参议院《2022年保护开源软件法案》两大提案的相继出台,体现了两大海外市场对软件供应链安全的高度重视。不同的国际市场环境下,有着不同的法律规定。对出海企业来说,需要对开源软件安全投入更高的关注度。

十大 CI/CD 安全风险(三)

在上一篇文章,我们了解了依赖链滥用和基于流水线的访问控制不足这两大安全风险,并给出缓解风险的安全建议。本篇文章将着重介绍 PPE 风险,并提供缓解相关风险的安全建议与实践。

十大 CI/CD 安全风险(二)

在上一篇文章中,我们主要介绍了 CI/CD 中流程控制机制不足和身份及访问管理不足两大安全风险,并为企业及其开发团队在缓解相应风险时给出了一些建议。今天我们将继续介绍值得企业高度关注的 CI/CD 安全风险。

https://static001.geekbang.org/infoq/a8/a85e9e82667a29dc86bb66ef28fe9786.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

十大 CI/CD 安全风险(一)

CI/CD 环境、流程和系统是现代软件组织的核心。他们将代码从开发工程师的工作站传递到生产环境。结合 DevOps 和微服务架构的兴起,CI/CD 系统和流程重塑了工程生态系统:

SBOM:缓解软件供应链风险的关键

软件包含大量且范围广泛的组件、部分和相互依赖关系。需要有效缓解与使用软件相关的安全风险;需要遵守与组件相关的许可证。通过第三方代码(包括开源软件 (OSS))了解产品中所有项目的出处至关重要,无论这些元素源自企业的团队还是团队之外。

https://static001.geekbang.org/infoq/7e/7ec5e2398b00813d8e0eaa1be912e5c5.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

Seal 软件供应链防火墙 v0.2 发布,提供依赖项全局洞察

Seal 软件供应链防火墙 v0.2 已于近日发布。这款产品旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护,通过全链路扫描、问题关联及风险组织的方式保护企业软件供应链安全,降低企业安全漏洞修复成本。 通过 Seal 软件供应链防火墙,用

从近期欧美法规看软件供应链安全趋势

近期美国和欧盟都发布了新的供应链安全相关要求法案,要求厂商评估供应链数字化产品的安全性,此举旨在保护供应链安全,防止SolarWinds 等安全事件的再次发生。

CISO 需考虑的五项 Kubernetes 安全措施

随着企业对软件开发的安全意识提高,开发和运维环节中各个团队也开始将安全嵌入他们正在使用或处理的平台或应用程序架构中。不同于各团队把对安全的关注放在自己所处理的环节,首席信息安全官(CISO)需要把握和负责从基础架构团队到应用程序团队等企业内部的

https://static001.geekbang.org/infoq/a8/a831762dde50c19a8302c2082abd42a1.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

Onedev v7.4.14 路径遍历漏洞分析(CVE-2022-38301)

OneDev 是开源的一体化轻量DevOps平台,在OneDev 7.4.14及以前版本中存在路径遍历漏洞,具有项目管理权限的攻击者可以将恶意 jar 文件上传到 lib 目录,覆盖原有jar包,攻击者可利用此漏洞在服务器中写入任意文件或远程执行恶意代码。

OSCS 开源安全周报第 11 期:本月微软补丁日修复 vscode 漏洞,请开发者留意自己使用的 vscode 是否受该漏洞影响

OSCS 社区共收录安全漏洞27个,公开漏洞值得关注的是 golang net/url 路径穿越漏洞(CVE-2022-32190),Visual Studio Code <1.71.1 权限提升漏洞(CVE-2022-38020),gophish/gophish < 0.12.0 存在打开重定向漏洞(CVE-2022-25295)。

实操指南:如何为 SAST 工具设置误报基准?

许多 SAST 工具都无法避免误报的问题。这些工具经常报告一些实际不存在的漏洞,这种不准确性让安全团队耗费大量时间来对误报进行分类和处理,这时设置误报基准就显得十分必要。

软件供应链安全_软件供应链安全技术文章_InfoQ写作社区