- 综合排序
- 最热优先
- 最新优先
- 来自专栏深度学习与python
从 10 万 npm 用户信息被窃看开源软件供应链安全
关于开源代码维护者因反俄给 node-ipc 库添加恶意代码、GitHub 封停部分俄罗斯开发者账号的讨论还未结束,10 万 npm 用户账号信息被窃再登 HN 热搜,开源软件供应链的安全性成为业界关注的焦点话题 热点问题及概念探讨 InfoQ:请解读一下 10 万 npm 被泄露的事件? 10 万的 npm 用户数据。 三、国内: 国内软件供应链安全整体相对比较滞后,从国家标准角度来讲,我们在供应链方面有一些偏硬件的标准,软件供应链安全标准正在制定中,具体为: 2022 年 4 月《信息安全技术软件供应链安全要求》由 Gavin:站在软件供应链安全的角度,开源只是其中一部分,但目前绝大多数安全事件都是因为开源软件导致的,所以大家潜移默化会把软件供应链安全与开源软件漏洞紧密结合起来。
65010编辑于 2023-03-29 - 来自专栏2024年网络安全宣传周
网络安全宣传周 - 供应链安全
1.1 供应链安全,网络安全关键防线在当今数字化时代,网络安全已成为国家、社会、企业乃至个人绕不开的重要命题。而供应链安全作为网络安全的关键防线,其重要性不言而喻。 而供应链安全问题可能会导致关键信息基础设施的停服断供、安全漏洞等,严重危害国家安全。1.2 机遇与挑战并存,构建安全堡垒在复杂的网络安全环境下,供应链安全既面临着挑战,也蕴含着机遇。 深圳市气象局出台《深圳市气象局供应链网络安全管理实施细则》,明确工作职责,形成涵盖全生命周期的供应链网络安全管理规范标准和实践指南体系,强化供应链安全事件应急响应及处置要求。 例如,出台供应链网络安全管理实施细则,形成涵盖全生命周期的供应链网络安全管理规范标准和实践指南体系,强化供应链安全事件应急响应及处置要求。加强安全监控是保障供应链安全的重要手段。 企业应细化供应链网络安全风险评估内容,构建全流程供应链安全评估机制,实现可快速识别并修复供应链开发、交付和使用环节实体要素存在的安全风险,最大限度消除供应链安全隐患,维护网络空间安全。
93910编辑于 2024-11-02 - 来自专栏tea9的博客
软件供应链安全简析
供应链安全背景 近年来,针对软件供应链的安全攻击事件呈快速增长态势,造成的危害也越来越大。 供应链安全将是未来的重要挑战 Gartner 预计超过70%的应用程序因使用开源组件而产生缺陷和漏洞。 供应链安全将是未来的重要挑战,从网络安全角度去思考的话,可以明显看到当前的商业组织似乎更多的关注自身网络安全建设,但日防夜防、“家贼”难防,任何一个薄弱的供应链都可能成为这个难防的“家贼”。 2021年5月12日,美国发布了《关于改善国家网络安全》的第14028号行政命令(EO),明确要求美国联邦政府加强软件供应链安全管控,迅速提高软件供应链的安全性和完整性。 今年5月,美国国家标准与技术研究院 (NIST)更新了解决软件供应链风险的网络安全指南,该指南帮助组织将网络安全供应链风险考虑因素和要求纳入其采购流程,并强调监控风险的重要性。
1.1K20编辑于 2023-02-28 - 来自专栏旅途散记
谷歌的开源供应链安全
摘要 谷歌在开源软件供应链安全方面的工作 介绍供应链安全概念和不同类型的攻击案例 加强理解软件供应链,探索构建、分析方法 使用加密签名、构建可重现的构建流程保障供应链安全 提倡内存安全编程语言如 今天的演讲主题是Google的开源供应链安全。首先,让我们了解一下“供应链安全”到底是什么意思。通常,当我们谈论供应链安全时,是指针对供应链攻击的工程防御。现在,我们需要定义什么是供应链攻击。 专访SolarWinds:遭受黑客攻击 给一家软件公司带来了什么[10] 这些例子都不涉及开源软件。让我们将开源供应链攻击, 定义为对在受信任程序中使用的受信任开源组件的恶意更改。 过去几十年,特别是在最近的10到20年内,软件行业经历了巨大转变。软件复用,从一个理想化的目标变成了现代编程环境的一个实际现实。 OSS模糊测试已发现超过10,000个漏洞和超过36,000个错误。谷歌还运行了一个单独的模糊测试服务,专注于通过精心设计的随机系统调用来破坏操作系统。
61610编辑于 2023-12-19 - 来自专栏FreeBuf
聊聊供应链安全:建议与方法
建议方法 供应链就是以合适的价格、地点和时间为顾客提供他们需要的资源。供应链安全是一个多学科的问题,需要业务、客户支持和IT之间的密切协作和执行,这有其自身的挑战。 来自内部人员或攻击者的数据泄露、勒索软件攻击和恶意活动可能发生在供应链的任意环节。即使是本地化到单个供应商或第三方供应商的安全事件,也可能严重扰乱计划、制定和交付过程。 供应链安全管理主要涉及五个方面 数据保护。数据是商业交易的核心,必须在静态和运行中保护并控制数据,以防止违规和篡改。安全的数据交换还包括信任其他来源,无论是第三方还是电子商务网站。 供应链安全建议 供应链安全需要多方面考虑。没有万能方案,但是组织可以用分层防御的组合来保护供应链。由于专注供应链安全的团队使威胁参与者更难实施攻击,因此获得了更多的时间来检测恶意活动并采取行动。 这里是一些组织追求管理和减轻供应链安全风险的重要战略。 安全战略评估。要评估风险与合规性,需要针对业务挑战、需求和目标评估现有的安全治理框架——包括数据隐私、第三方风险和IT法规合规需求及差距。
1.5K10发布于 2021-02-08 - 来自专栏FreeBuf
聊聊供应链安全:政策与问题
今天,来聊聊供应链安全,后面将会从政策、主要问题、方法、美国ICT SCRM实践等方面谈谈供应链。 (配置、漏洞、补丁、病毒库)、供应链安全管理策略、安全运维策略等。 7.7.2 供应链安全保护 运营者应: a)制定供应链安全管理策略,包括:风险管理策略、供应商选择和管理策略、产品开发采购策略、安全维护策略等。 b)建立供应链安全管理制度,设置相应的供应链安全管理部门,提供用于供应链安全管理的资金、人员和权限等可用资源。 访问控制安全有助于确保数据只被有权限的人查看。 10 供应商是否将敏感数据加密存储在系统中?
83210编辑于 2023-04-26 - 来自专栏DevOps持续集成
安全软件供应链6个交付管道安全最佳实践
这些软件供应链组件中的任何一个弱点都可能是软件供应链攻击中使用的入口点或支点。当你考虑到我们的软件供应链已经变得很复杂时,2021 年软件供应链攻击增加了 51%也就不足为奇了。 交付管道和软件供应链安全 为了支持快速、迭代和高质量的部署,托管 VCS 和 CI/CD 管道已成为云原生组织的命脉。 在这篇文章中,我们将研究 VCS 和 CI/CD 管道中一些最常见的安全漏洞,这些漏洞可能会使供应链受到攻击。然后,我们将介绍安全专业人员可以实施以减轻供应链攻击的几个最佳实践。 但是,它们的默认配置并未考虑到安全性。再加上它们处于软件供应链的中心,这使得它们很容易成为黑客的目标。 为了保护他们的软件供应链,组织应该采取预防性的、纵深防御的方法来遵循 VCS 和 CI/CD 安全最佳实践,并利用策略即代码来随着时间的推移执行最佳实践。
94730编辑于 2022-12-29 - 来自专栏腾讯研究院的专栏
半导体:趋势、周期和供应链安全
半导体是产品竞争力的重要组成部分,也是影响产业链和国家安全的关键环节。 韩国发布《K—半导体战略》,拟10年投资4500亿美元,建设全球最大的半导体制造基地。 1971年第一款商用微处理器Intel 4004问世,它采用10微米制程工艺,集成了2250个晶体管。如今工艺制程达到2纳米,拇指盖大小的芯片上可包含500亿个晶体管。 芯片的生产发生在一个全球性的、复杂的供应链中,并且在一些重要环节呈过于集中趋势,只有少数几家公司(甚至只有一家)能参与其中。 近年受新冠疫情和地缘政治等多重因素影响,全球缺“芯”日益严重,进一步暴露出半导体供应链的脆弱性。半导体是高水平科技自立自强的重要领域,是必须打赢的一场攻坚战。 本文作者: 闫德利 腾讯研究院资深专家
43510编辑于 2023-11-16 - 来自专栏云云众生s
清洁的容器镜像:供应链安全革命
供应链安全 初创公司 Chainguard 在过去四年多的时间里,一直试图改变开发者和企业看待和使用 容器镜像 以及其中包含的 开源组件 的方式。 借助这项新功能,组织可以更好地量化使用 Chainguard 的无 CVE 镜像所带来的工程、安全和财务效益。 Dunn 在 GitHub、PagerDuty 和 Chef 等公司担任产品管理职务后,于 10 个月前加入 Chainguard。 这一切的基础是 Wolfi,Chainguard 定制的 Linux 发行版——或者他们称之为(非)发行版——它在构建时具有默认安全性,适用于 supply chain。 Dunn 说这没有道理,他将其与在没有农业部确保食品安全的情况下在超市购物的想法进行了比较。他说,如果这个世界的食品购买者有开发者的心态,他们会将购买不安全食品的风险视为做生意的成本。
27800编辑于 2025-02-09 - 来自专栏安全攻防
企业供应链安全体系建设思考
企业供应链安全信息安全里面的供应链安全,是狭义范围的供应链安全,其最终安全问题是体现在应用系统上的问题。 供应链的软件组件会持续支撑整个应用系统的生命周期,如果组件出现问题,会直接影响到应用系统的可用性安全性。应用系统的供应链安全,实际上是由三个部分组成的。 分别是应用安全里面软件开发中的依赖包(log4j),基础安全里面的应用运行组件(phpstudy),办公安全里的开发IDE(xcodeghost)。 供应链安全的建设落地1、状态调研及评估:调研安全建设状态,评估建设完成度。2、决策工作内容:结合调研结果,结合公司整体的建设方案,来决定工作内容,内容顺序,落地方案。 供应链安全建设中,优先级最高的是依赖包供应链的安全建设,其次是基础IT组件,其次是办公终端IDE安全。
34910编辑于 2023-08-25 - 来自专栏小程序类
软件供应链安全事件频发,安全问题怎样保障
2020年12月针对SolarWinds®的 "供应链攻击"被认为是网络安全界的一个里程碑事件。这次攻击是由SolarWinds的Orion软件中的安全漏洞导致的,使黑客能够入侵全球数百家公司的系统。 享受便利的同时问题也随之而来,以上的软件供应链安全事件也层出不穷。为了保护自己免受此类攻击,企业必须超越传统的、有风险的 "信任但核实 "的网络安全方法。 在信息化程度比较高的金融业,软件作为金融信息基础设施的重要组成部分,安全问题将直接影响金融信息系统的安全稳定运行。对于企业来说,如何把软件供应链里的“恶意”关在笼子里?或许安全沙箱一种可操作的手段。 在云计算的环境下,云原生型安全沙箱技术也在演进,有望在企业环境中,对软件供应链安全问题提供一部分“治标”的解决方案(“治本”还得更加长期、综合、涉及面更广的综合策略)。 但是对于通过供应链污染而“播种”内鬼的安全攻击,似乎这是最有效的手段。
77930编辑于 2022-10-26 - 来自专栏资讯分享
半导体:趋势、周期和供应链安全
半导体是产品竞争力的重要组成部分,也是影响产业链和国家安全的关键环节。 韩国发布《K—半导体战略》,拟10年投资4500亿美元,建设全球最大的半导体制造基地。 1971年第一款商用微处理器Intel 4004问世,它采用10微米制程工艺,集成了2250个晶体管。如今工艺制程达到2纳米,拇指盖大小的芯片上可包含500亿个晶体管。 芯片的生产发生在一个全球性的、复杂的供应链中,并且在一些重要环节呈过于集中趋势,只有少数几家公司(甚至只有一家)能参与其中。 近年受新冠疫情和地缘政治等多重因素影响,全球缺“芯”日益严重,进一步暴露出半导体供应链的脆弱性。半导体是高水平科技自立自强的重要领域,是必须打赢的一场攻坚战。
42220编辑于 2023-07-26 - 来自专栏网络安全
全球供应链安全警钟:七大知名供应链攻击事件回顾
本文星尘安全就带着大家一起,来回顾一下近年来全球知名的七大供应链安全事件。 虽然Piriform迅速修复了此漏洞,但该事件突显了供应链攻击对企业环境的潜在巨大威胁,并导致了企业对第三方软件的信任度降低,供应链安全成为行业的焦点议题。 4. ASUS的声誉因此次事件受到严重损害,迫使公司对其软件供应链进行全面审查,并采取额外的安全措施。 总结 这些全球知名的供应链攻击事件,展示了供应链安全的脆弱性与复杂性。 为了应对日益增长的供应链攻击威胁,下至企业,上至国家,都需要加强供应链的审查、强化安全协议,并实施更多的防御性技术来保护其核心资产和客户数据。
5.1K10编辑于 2024-09-25 - 来自专栏Rust语言学习交流
【Rust日报】2023-10-10 使用 Cackle 抵御 Rust 供应链攻击
使用 Cackle 抵御 Rust 供应链攻击 Cackle 是一个代码 ACL 检查器,用于增加供应链攻击的难度。Cackle 通过 cackle.toml 进行配置。 例如: [pkg.rustyline] allow_apis = [ "fs", ] allow_unsafe = true 这意味着 rustyline 包可以使用文件系统API,并且可以使用不安全的代码
33910编辑于 2023-10-18 - 来自专栏云云众生s
通过 Backstage 确保你的软件供应链安全
通过 Backstage 确保你的软件供应链安全 一个内部开发者门户可以帮助您整合和演化您的安全策略。 正如 Cloud Native Computing Foundation(CNCF) 安全工作组所述:“供应链需要多个关联的流程,供应链安全依赖于对每个流程的验证和验证。” 统一的安全视图 根据 CNCF 的说法,确保供应链安全的一个关键步骤是确保“内部的、第一方的源代码仓库……通过提交签名、漏洞扫描、贡献规则和策略执行得到保护和安全”。 了解您的整体安全演变 当您通过目录进行所有权排序,并通过 Scaffolder 主动推动最佳实践时,下一步是了解您的整体软件供应链安全工具。 您还可以跟踪您的供应链安全的演变以及实践在整个组织中的采用情况。
28110编辑于 2024-03-27 - 来自专栏云云众生s
开源安全供应链走向成熟的2023年
正如Synopsys报告的那样,"确保软件供应链安全的第一步是管理应用程序中的开源和第三方代码。 如果您无法有效管理和确保开源和第三方软件的安全性,那么为确保供应链安全所做的任何其他努力都将失效 - 或者坦率地说,甚至无关紧要。" Synopsys没有说错。 正如乔·拜登总统关于改进国家网络安全的行政令所宣布的,SBOM是“包含用于构建软件的各种组件的详细信息和供应链关系的正式记录”。 开发者安全公司Snyk在其2023年软件安全调查中发现,尽管针对开源代码的网络攻击数量创历史新高,但40%的受访者仍然不使用关键的供应链安全技术。 当然,公司知道存在问题,但Synk发现他们正在特殊的基础上解决供应链安全问题。只有一半的公司有正式的供应链安全策略。 我们在2024年的安全任务很清晰。
39010编辑于 2024-03-28 - 来自专栏FreeBuf
企业供应链安全的思考与实践(一)
该攻击可以追溯到2019年10月份,并疑似与SolarWinds一名实习生使用弱口令“solarwinds123”有关。 一、供应链安全概述 供应链安全事件在最近几年频发,供应链安全也越来越被政府和企业重视,原因在于在供应链管理中可能导致安全风险的因素非常复杂,如果没有良好的供应链安全管理和风险控制,由于供应链导致的安全风险会急剧增加 因此,当企业在考虑自身信息安全的时候,不得不考虑供应链安全,同时,每个企业作为经济活动中的一个环节,自身也是供应链中的一环,有着自己的上游和下游供应商,在安全愈加被重视的环境下,企业自身的客户和上游供应商都会要求企业具有一定的安全能力 与企业信息安全管理相同的是,供应链安全不是纯粹的IT问题,而是人、流程和知识的问题,在供应链庞杂的环境中,企业完全不被攻击或攻陷是不可避免的,因此需要从攻击者的角度进行安全防御建设。 供应链安全涉及到的方面包括企业供应链管理中的: 采购 供应商管理 供应链连续性 供应链质量 运输安全 从与供应商的商务关系到供应商的技术管理和实践,相关的风险又依次包括: 第三方供应商:供应商企业健康状况和企业实力
95930编辑于 2022-11-14 - 来自专栏游戏安全攻防
从开发者视角浅谈供应链安全
供应链基础 软件供应链安全,它覆盖整个软件生命周期过程(可分为开发、交付、使用三大环节),单从软件产品的复杂性来说,除了保障软件项目自身的安全之外,还需包括每个项目的依赖关系与可传递依赖关系,以及这些关系链所组成的软件生态系统的安全 供应链攻击点有:供应链漏洞(0day、Nday等漏洞突破边界)、供应链后门(预留调试后门、内置口令)、供应链社工、供应链投毒。 由于软件由受信任的供应商生成和发布,因此这些应用和更新已经过签名和认证。 供应链风险 软件供应链风险因素: 1.设计阶段:由于开发人员对安全认知和掌握的缺失和忽略,往往导致软件产品在功能需求、架构设计和编译的程序代码中存在天然的安全缺陷,而这些往往是无法通过后期软件开发环境加固和安全应急响应进行根本解决的 供应链安全方案 从大层面上防范供应链攻击的方案 1、遵循权限最小化原则、收紧企业内网、控制对外映射服务 2、引入威胁情报、持续监控供应商安全风险 3、根据互联网侧、边界侧、内网侧、办公侧等场景制定防护方案 (7)安全隐私测试,基于安全隐私需求设计测试用例并进行验证; (8)漏洞扫描; (9)模糊测试; (10)渗透测试。
85810编辑于 2023-09-14 - 来自专栏绿盟科技研究通讯
洞见RSAC 2024|供应链与AI安全挑战
2024年RSA大会上,来自泰雷兹(THALES)的软件安全技术总监VISWANATH S CHIRRAVURI分享了关于供应链安全和AI安全的议题。 自2022年底大模型技术发展迅速,如何理解AI与安全的关系成为了另一个重要的课题,本文将从供应链和AI安全两个方面分别进行解读。 一、供应链攻击与分类法 供应链攻击(Supply chain attacks)多年来一直是一个安全问题,自2020年以来全球频繁受到供应链攻击事件的影响。 结合AI自身安全和供应链安全而言,也有针对与AI\ML的供应链安全风险。 绿盟开源软件供应链平台展示的著名tensorflow-gpu组件2.11.0rc0版本受到10余+漏洞影响 根据2023年OWASP提出的机器学习安全和大模型安全领域的TOP10的攻击方式中,供应链攻击均榜上有名
65610编辑于 2024-05-29 - 来自专栏安全乐观主义
供应链安全系列-攻击编译阶段(一)
我们不断用DAST发现安全漏洞,以更高的覆盖率、更低的误报率、漏报率而自豪,运营人员反馈得到工单去及时迭代修复。 而现在又兴起了供应链安全的热点。 ? Google的实践是联合业界使用Grafeas API管理联通软件供应链安全项目。 ? 我在早期接触安全时曾经获取曾经对某cms的官方release包修改了jar包里的DispatcherServlet的class文件加入特殊指令,现在想来也是为了供应链“不安全”贡献了力量,当时思路还是太局限了 如何保证软件供应链生产端和消费端的一致性?如何识别繁杂的二进制和开源组件?如何及时跟进迭代开源片段的引入?值得思考。 笔者曾经参与过英国安全认证中心(UK CSEC)的评估工作。 但是关于供应链安全的讨论,除了各种外部报道的手段替换组件被执行恶意操作之外,笔者还想到我们是否遗漏了一类关键点--对持续集成人员的要求、对代码检视人员的要求?对编译阶段的检查?
1.5K20发布于 2019-11-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号